13Aug
Mac OS X 10.11 El Capitan aizsargā sistēmas failus un procesus ar jaunu funkciju, kuras nosaukums ir System Integrity Protection. SIP ir kodola līmeņa funkcija, kas ierobežo to, ko var veikt "root" konts.
Šī ir lieliska drošības funkcija, un gandrīz ikvienam - pat "enerģijas lietotājiem" un izstrādātājiem - būtu jāatstāj tā iespēja. Bet, ja jums patiešām ir jāmaina sistēmas faili, varat to apiet.
Kas ir sistēmas integritātes aizsardzība?
Uz Mac OS X un citām UNIX līdzīgām operētājsistēmām, ieskaitot Linux, ir "root" konts, kuram parasti ir pilna piekļuve visai operētājsistēmai. Kļūstot par saknes lietotāju vai iegūstot administratora tiesības, tiek nodrošināta piekļuve visai operētājsistēmai un iespēja mainīt un dzēst jebkuru failu. Malware, kas iegūst root tiesības, var izmantot šīs atļaujas, lai bojātu un inficētu zemā līmeņa operētājsistēmas failus.
Ierakstiet savu paroli drošības dialoglodziņā un jūs esat piešķīris lietojumprogrammas saknes atļaujas. Tas tradicionāli ļauj tam kaut ko darīt jūsu operētājsistēmā, lai gan daudzi Mac lietotāji, iespējams, to nav sapratuši.
sistēmas integritātes aizsardzība - pazīstama arī kā "bez saknēm" - funkcionē, ierobežojot root kontu. Pati operētājsistēmas kodols pārbauda saknes lietotāja piekļuvi un neļaus tai veikt noteiktas lietas, piemēram, aizsargātās vietnes vai aizsargātās sistēmas procesus. Visi kodola paplašinājumi ir jāparaksta, un jūs nevarat atspējot sistēmas integritātes aizsardzību no pašas Mac OS X sistēmas. Lietojumprogrammas ar paaugstinātām root atļaujām vairs nevar ietekmēt sistēmas failus.
Jūs visticamāk pamanīsiet šo, ja jūs mēģināt rakstīt vienā no šādiem katalogiem:
- / System
- / bin
- / usr
- / sbin
OS X tikai tas neļaus, un jūs redzēsiet "Darbība nav atļauta ".OS X arī neļaus jums uzstādīt citu atrašanās vietu, izmantojot vienu no šiem aizsargātajiem direktorijiem, tāpēc to nevar apskatīt.
Pilns aizsargāto vietu saraksts ir atrodams /System/Library/Sandbox/ rootless.conf savā Mac datorā.Tas ietver tādus failus kā Mail.app un Chess.app lietotnes, kas iekļautas operētājsistēmā Mac OS X, tādēļ jūs nevarat tos noņemt - pat no komandrindas kā root lietotāja. Tas arī nozīmē, ka ļaundabīgās programmas nevar mainīt un inficēt šīs lietojumprogrammas.
Nejaušība ir tāda, ka diska lietderības opcija "Remonta diska atļaujas", ko ilgi izmanto, lai novērstu dažādas Mac problēmas, tagad ir noņemta. Sistēmas integritātes aizsardzībai jebkurā gadījumā jānovērš būtiskas failu atļaujas. Diska utilītprogramma ir pārveidota un joprojām ir pieejama "Pirmā palīdzība", lai novērstu kļūdas, taču tajā nav nekādu iespēju labot atļaujas.
Kā atspējot sistēmas integritātes aizsardzību
Brīdinājums : nedariet to tikai tad, ja jums ir ļoti labs iemesls to darīt un precīzi precīzi zināt, ko jūs darāt! Lielākajai daļai lietotāju nav jāatspējo šis drošības iestatījums. Tas nav paredzēts, lai novērstu sistēmas sabojāšanu - tā ir paredzēta, lai nepieļautu ļaunprātīgu programmatūru un citas sliktas izturēšanās programmas ar sistēmu. Bet daži zema līmeņa komunālie pakalpojumi var darboties tikai tad, ja tiem ir neierobežota piekļuve.
Sistēmas integritātes aizsardzības iestatījums netiek saglabāts pašu Mac OS X sistēmā.Tā vietā tas tiek glabāts NVRAM katrā atsevišķā Mac datorā.To var mainīt tikai no atkopšanas vides.
Lai palaistu atkopšanas režīmā, restartējiet Mac un turiet Command + R tā, kā tā zābaka. Jūs ievadīsit atkopšanas vidi. Noklikšķiniet uz izvēlnes "Utilities" un izvēlieties "Terminal", lai atvērtu termināla logu.
Ierakstiet šo komandu terminālā un nospiediet Enter, lai pārbaudītu statusu:
csrutil status
Jūs redzēsiet, vai ir iespējota sistēmas integritātes aizsardzība.
Lai atspējotu sistēmas integritātes aizsardzību, palaidiet šādu komandu:
csrutil atspējojiet
Ja izlemjat, ka vēlies aktivizēt SIP vēlāk, atgriezieties atkopšanas vide un izpildiet šādu komandu:
csrutil enable
Restartējiet Mac un jauno sistēmas integritātes aizsardzībunoteikums stāsies spēkā.Saknes lietotājam tagad būs pilnīga, neierobežota piekļuve visai operētājsistēmai un katram failam.
Ja pirms mašīntīzes Mac OS X 10.11 El Capitan augšupielādes failos iepriekš bija saglabāti faili šajos aizsargātajos katalogos, tie nav dzēsti. Jūs atradīsit tos pārvietot uz sava Mac datora /Library/SystemMigration/History/ migrācijas( UUID) /QuarantineRoot/ direktoriju.
attēla kredīts: Shinji par Flickr