13Aug
Mac OS X 10.11 El Capitan beschermt systeembestanden en -processen met een nieuwe functie genaamd System Integrity Protection. SIP is een kernelniveau-functie die beperkt wat het "root" -account kan doen.
Dit is een geweldige beveiligingsfunctie en bijna iedereen - zelfs 'machtige gebruikers' en ontwikkelaars - moet het ingeschakeld laten. Maar als u systeembestanden echt moet wijzigen, kunt u deze omzeilen.
Wat is bescherming van systeemintegriteit?
Op Mac OS X en andere UNIX-achtige besturingssystemen, waaronder Linux, is er een "root" -account dat traditioneel volledige toegang heeft tot het volledige besturingssysteem. De root-gebruiker worden - of root-rechten verkrijgen - geeft u toegang tot het volledige besturingssysteem en de mogelijkheid om elk bestand te wijzigen en te verwijderen. Malware die root-rechten krijgt, zou deze permissies kunnen gebruiken om de low-level besturingssysteembestanden te beschadigen en te infecteren.
Typ uw wachtwoord in een beveiligingsdialoogvenster en u hebt de hoofdtoestemmingen van het programma gegeven. Hierdoor kan het van oudsher alles aan uw besturingssysteem doen, hoewel veel Mac-gebruikers dit misschien niet hebben gerealiseerd.
System Integrity Protection - ook bekend als "rootless" - functies door het root-account te beperken. De kernel van het besturingssysteem controleert de toegang van de rootgebruiker en staat bepaalde dingen niet toe, zoals het wijzigen van beschermde locaties of het injecteren van code in beschermde systeemprocessen. Alle kernel-extensies moeten worden ondertekend en u kunt Systeemintegriteitsbescherming niet uitschakelen in Mac OS X zelf. Toepassingen met verhoogde rootrechten kunnen niet langer knoeien met systeembestanden.
Dit merkt u waarschijnlijk als u probeert naar een van de volgende mappen te schrijven:
- / System
- / bin
- / usr
- / sbin
OS X staat het gewoon niet toe en u ziet een "Bewerking niet toegestaan "bericht. OS X zal je ook niet toestaan om een andere locatie boven een van deze beschermde mappen te mounten, dus er is geen manier om dit te omzeilen.
De volledige lijst met beschermde locaties is te vinden op /System/Library/Sandbox/ rootless.conf op uw Mac. Het bevat bestanden zoals de Mail.app- en Chess.app-apps die zijn meegeleverd met Mac OS X, dus u kunt deze niet verwijderen - zelfs niet vanaf de commandoregel als root-gebruiker. Dit betekent ook dat malware die toepassingen echter niet kan wijzigen en infecteren.
Niet toevallig is de optie "herstelschijfrechten" in Schijfhulpprogramma - lang gebruikt voor het oplossen van verschillende Mac-problemen - nu verwijderd. Bescherming van systeemintegriteit moet in elk geval verhinderen dat met cruciale bestandsmachtigingen wordt geknoeid. Het Schijfhulpprogramma is opnieuw ontworpen en heeft nog steeds een "Eerste Hulp" -optie voor het herstellen van fouten, maar biedt geen manier om machtigingen te herstellen.
Systeemintegriteitsbescherming uitschakelen
Waarschuwing : doe dit niet tenzij u een zeer goede reden hebt om dit te doen en precies weet wat u doet! De meeste gebruikers hoeven deze beveiligingsinstelling niet uit te schakelen. Het is niet bedoeld om te voorkomen dat u met het systeem knoeit, het is bedoeld om te voorkomen dat malware en andere slecht opgevoede programma's met het systeem knoeien. Maar sommige hulpprogramma's op laag niveau werken mogelijk alleen als ze onbeperkte toegang hebben.
De instelling voor systeemintegriteitsbescherming wordt niet opgeslagen in Mac OS X zelf. In plaats daarvan wordt het opgeslagen in NVRAM op elke afzonderlijke Mac. Het kan alleen worden gewijzigd vanuit de herstelomgeving.
Om te herstarten in de herstelmodus, herstart je Mac en houd je Command + R vast terwijl het opstart. U komt in de herstelomgeving. Klik op het menu "Hulpprogramma's" en selecteer "Terminal" om een terminalvenster te openen.
Typ de volgende opdracht in de terminal en druk op Enter om de status te controleren:
csrutil-status
U zult zien of de bescherming van systeemintegriteit is ingeschakeld of niet.
Voer de volgende opdracht uit om System Integrity Protection uit te schakelen:
csrutil uitschakelen
Als u besluit SIP later wilt inschakelen, gaat u terug naar de herstelomgeving en voert u de volgende opdracht uit:
csrutil enable
Start uw Mac en uw nieuwe systeemintegriteitsbescherming opnieuw opinstelling wordt van kracht. De root-gebruiker heeft nu volledige en onbeperkte toegang tot het volledige besturingssysteem en elk bestand.
Als u eerder bestanden had opgeslagen in deze beschermde mappen voordat u een upgrade van uw Mac naar OS X 10.11 El Capitan uitvoerde, zijn deze niet verwijderd. Je zult merken dat ze naar de /Library/SystemMigration/History/ Migratie-( UUID) /QuarantineRoot/-map op je Mac zijn verplaatst.
Image Credit: Shinji op Flickr