13Aug
A Mac OS X 10.11 El Capitan megvédi a rendszerfájlokat és a folyamatokat egy új System Integrity Protection nevű szolgáltatással. A SIP egy rendszermag-szintű funkció, amely korlátozza a "root" fiók számát.
Ez egy nagyszerű biztonsági funkció, és szinte mindenki - még az "energiafelhasználók" és a fejlesztők számára is - hagyja engedélyezni. De ha tényleg módosítania kell a rendszerfájlokat, megkerülheti azt.
Mi a rendszerintegritás-védelem?
A Mac OS X és más UNIX-szerű operációs rendszerek, beleértve a Linuxot is, van egy "root" fiók, amely hagyományosan teljes hozzáféréssel rendelkezik az egész operációs rendszerhez. A root felhasználóvá válás - vagy a root jogosultságok megszerzése - hozzáférést biztosít az egész operációs rendszerhez és a fájlok módosításához és törléséhez. A gyökérengedélyekkel rendelkező rosszindulatú programok az ilyen jogosultságokat károsíthatják és megfertőzhetik az alacsony szintű operációs rendszer fájlokat.
Írja be a jelszavát egy biztonsági párbeszédablakba, és megadta az alkalmazás gyökér jogosultságait. Ez hagyományosan lehetővé teszi, hogy bármit megtegyen az operációs rendszerhez, bár sok Mac-felhasználó ezt nem tudta megvalósítani.
A rendszerintegritás-védelem - más néven "rootless" - a rootszám korlátozásával jár. Az operációs rendszermag maga ellenõrzi a root felhasználó hozzáférését, és nem teszi lehetõvé bizonyos dolgok elvégzését, például a védett helyek módosítását vagy a kód beillesztését a védett rendszerfolyamatokba. Minden rendszermag kiterjesztést alá kell írnia, és nem tudja kikapcsolni a rendszerintegritási védelmet a Mac OS X rendszerből. Az emelt gyökérengedélyekkel rendelkező alkalmazások már nem manipulálhatják a rendszerfájlokat.
Az alábbiakban a következő könyvtárak egyikét próbálja meg írni:
- / System
- / bin
- / usr
- / sbin
Az OS X csak nem engedi meg, és megjelenik egy "Üzemeltetés nem engedélyezett "üzenet. Az OS X nem fogja engedélyezni, hogy másik helyet csatoljon ezen védett könyvtárak egyikére, így nincs mód erre.
A védett helyek teljes listája megtalálható a Mac /System/Library/Sandbox/ rootless.conf fájlban. Olyan fájlokat tartalmaz, mint a Mail.app és a Chess.app alkalmazások, amelyek a Mac OS X rendszerhez vannak mellékelve, így ezeket nem távolíthatja el - még a parancssorból is, mint root felhasználóként. Ez azt is jelenti, hogy a rosszindulatú programok nem módosíthatják és fertőzhetik meg ezeket az alkalmazásokat.
Nem véletlenül eltávolították a Disk Utility "Javítási lemezengedélyek" opciót - amely sokféle Mac-probléma megoldására szolgál - már eltávolították. A rendszerintegritási védelemnek meg kell akadályoznia, hogy a fontos fájlengedélyeket esetleg meghamisítsák. A Disk Utility-t áttervezték, és még mindig van egy "First Aid" opció a hibák kijavítására, de nem teszi lehetővé a jogosultságok javítását.
Hogyan lehet letiltani a rendszerintegritás-védelmet
Figyelmeztetés : Ne csináld ezt, hacsak nem nagyon jó oka van rá, és pontosan tudja, mit csinálsz! A legtöbb felhasználónak nem kell letiltania ezt a biztonsági beállítást. Nem célja, hogy megakadályozza a rendszer megzavarását - célja, hogy megakadályozza a rosszindulatú programokat és egyéb rosszul viselkedő programokat a rendszertől. De egyes alacsony szintű segédprogramok csak akkor működhetnek, ha korlátlan hozzáféréssel rendelkeznek.
A rendszerintegritás-védelem beállítása nem a Mac OS X rendszerben található.Ehelyett az egyes NVRAM-n tárolt. Csak a helyreállítási környezetből módosítható.
A helyreállítási módba való indításhoz indítsa újra Mac számítógépét, és tartsa lenyomva a Command + R parancsot, miközben bootol. Belép a helyreállítási környezetbe. Kattintson a "Segédprogramok" menüre, és válassza ki a "Terminál" lehetőséget egy terminál ablak megnyitásához.
Írja be a következő parancsot a terminálba, és nyomja meg az Enter billentyűt az állapot ellenőrzéséhez:
csrutil állapot
Megtudhatja, hogy a rendszerintegritási védelem engedélyezett-e vagy sem.
A rendszerintegritás-védelem letiltásához futtassa a következő parancsot:
csrutil letiltja az
-t Ha úgy dönt, hogy később engedélyezi a SIP engedélyezését, térjen vissza a helyreállítási környezetbe, és futtassa a következő parancsot:
csrutil enable
Indítsa újra Mac-jét és az új rendszerintegritási védelmeta beállítás érvénybe lép. A root felhasználónak teljes, korlátlan hozzáférése lesz a teljes operációs rendszerhez és minden fájlhoz.
Ha korábban frissített Mac OS X 10.11 El Capitan verzióra volt a fájlok tárolva, ezeket még nem törölték. Megtalálja azokat az /Library/SystemMigration/History/ migrációs( UUID) /QuarantineRoot/ könyvtárba költöztetve a Mac rendszeren.
képarány: Shinji a Flickr
-re