13Aug
Mac OS X 10.11 אל קפיטן מגנה על קבצי מערכת ותהליכים באמצעות תכונה חדשה בשם 'הגנת השלמות של המערכת'.SIP הוא תכונה ברמת ליבה המגביל את מה "שורש" החשבון יכול לעשות.
זוהי תכונה אבטחה מעולה, וכמעט כולם - אפילו "משתמשים כוח" ומפתחים - צריך להשאיר את זה מופעל.אבל, אם אתה באמת צריך לשנות את קבצי המערכת, אתה יכול לעקוף את זה.
מהי מערכת ההגנה על מהימנות?
ב- Mac OS X ובמערכות הפעלה אחרות של UNIX, כולל לינוקס, יש חשבון "שורש" שיש לו גישה מלאה למערכת ההפעלה כולה.להפוך למשתמש הבסיס - או השגת הרשאות שורש - נותן לך גישה למערכת ההפעלה כולה ואת היכולת לשנות ולמחוק כל קובץ.תוכנה זדונית שמקבלת הרשאות בסיס יכולה להשתמש בהרשאות אלה כדי להזיק ולהדביק את קבצי מערכת ההפעלה ברמה נמוכה.
הקלד את הסיסמה שלך בתיבת דו-שיח של אבטחה ונתת את הרשאות השורש של היישום.זה באופן מסורתי מאפשר לה לעשות משהו למערכת ההפעלה שלך, אם כי משתמשי Mac רבים אולי לא הבנתי את זה.
מערכת שלמות הגנה - הידוע גם בשם "rootless" פונקציות על ידי הגבלת חשבון השורש.הקרנל של מערכת ההפעלה עצמה מעמיד בדיקות על גישת המשתמש של השורש ולא יאפשר לו לעשות דברים מסוימים, כגון שינוי מיקומים מוגנים או הזרקת קוד לתהליכי מערכת מוגנים.יש לחתום על כל הרחבות הקרנל, ואינך יכול להשבית את 'מערכת שלמות והגנה' מתוך Mac OS X עצמו.יישומים עם הרשאות שורש גבוהות אינם יכולים עוד לחבל בקבצי מערכת.
סביר להניח שתבחין בכך אם תנסה לכתוב לאחת מהספריות הבאות:
- / System
- / bin
- / usr
- / sbin
OS X פשוט לא יאפשר זאת, ותראה "הפעולה אינה מותרת ".OS X גם לא יאפשר לך לעלות מיקום אחר על אחד ספריות אלה מוגן, ולכן אין דרך לעקוף את זה.
הרשימה המלאה של מקומות מוגנים נמצא ב- /System/Library/Sandbox/ rootless.conf ב- Mac שלך.הוא כולל קבצים כמו יישומי Mail.app ו- Chess.app הכלולים ב- Mac OS X, כך שאינך יכול להסיר אותם - אפילו משורת הפקודה כמשתמש הבסיס.זה גם אומר כי תוכנות זדוניות לא יכול לשנות להדביק יישומים אלה, עם זאת.
לא במקרה, האפשרות "הרשאות דיסק תיקון" בכלי השירות Disk - בשימוש רב לפתרון בעיות Mac שונות - הוסרה כעת.מערכת שלמות הגנה צריך למנוע הרשאות קובץ חיוני מלהיות טמפרד עם, בכל מקרה.תוכנית השירות של הדיסק עוצבה מחדש ועדיין יש לה אפשרות "עזרה ראשונה" לתיקון שגיאות, אך לא ניתן לתקן את ההרשאות.
כיצד להשבית את מערכת שלמות הגנה
אזהרה : אל תעשה את זה אלא אם כן יש לך סיבה טובה מאוד לעשות זאת ולדעת בדיוק מה אתה עושה!רוב המשתמשים לא צריכים לבטל את הגדרת האבטחה הזו.זה לא נועד למנוע ממך להתעסק עם המערכת - היא נועדה למנוע תוכנות זדוניות ותוכנות אחרות רע התנהגויות מלהיות מתעסק עם המערכת.אבל כמה ברמה נמוכה שירות יכול רק לתפקד אם יש להם גישה חופשית.
ההגדרה Integrity Protection אינה מאוחסנת במערכת ההפעלה Mac OS X עצמה.במקום זאת, הוא מאוחסן ב NVRAM על כל MAC בודדים.זה יכול להיות רק השתנה מסביבת ההתאוששות.
כדי לבצע אתחול למצב שחזור, הפעל מחדש את ה- Mac והחזק את Command + R בעת אתחולו.תוכל להזין את סביבת השחזור.לחץ על התפריט "Utilities" ובחר "Terminal" כדי לפתוח חלון מסוף.
הקלד את הפקודה הבאה במסוף והקש Enter כדי לבדוק את הסטטוס:
csrutil status
תראו אם 'הגנת יושר המערכת' מופעלת או לא.
כדי להשבית את System Integrity Protection, הפעל את הפקודה הבאה:
csrutil disable
אם תחליט שברצונך להפעיל את SIP במועד מאוחר יותר, חזור לסביבת השחזור והפעל את הפקודה הבאה:
csrutil הפעל את
הפעל מחדש את ה- Mac ואת ההגנה החדשה על המערכת שלךההגדרה תיכנס לתוקף.למשתמש הבסיס תהיה כעת גישה מלאה, ללא הגבלה למערכת ההפעלה כולה ולכל קובץ.
אם בעבר היו קבצים המאוחסנים בספריות אלה מוגנים לפני שדרוג MAC שלך OS X 10.11 אל Capitan, הם לא נמחקו.אתה תמצא אותם הועברו /Library/SystemMigration/History/ הגירה-( UUID) /QuarantineRoot/ במדריך ב- Mac שלך.
תמונה אשראי: שינג 'י על Flickr