Jak wyłączyć ochronę integralności systemu na komputerze Mac( i dlaczego nie powinno się tego robić)

Mac OS X 10.11 El Capitan chroni pliki systemowe i procesy za pomocą nowej funkcji o nazwie System Integrity Protection. SIP to funkcja na poziomie jądra, która ogranicza to, co może zrobić konto "root".

Jest to świetna funkcja bezpieczeństwa i prawie wszyscy - nawet "zaawansowani użytkownicy" i programiści - powinni ją włączyć.Ale jeśli naprawdę potrzebujesz zmodyfikować pliki systemowe, możesz je ominąć.

Co to jest ochrona integralności systemu?

Na Mac OS X i innych systemach operacyjnych podobnych do UNIX, w tym Linux, istnieje konto "root", które tradycyjnie ma pełny dostęp do całego systemu operacyjnego. Zostanie użytkownikiem root - lub uzyskanie uprawnień root'a - daje dostęp do całego systemu operacyjnego oraz możliwość modyfikowania i usuwania dowolnego pliku. Złośliwe oprogramowanie, które uzyskuje uprawnienia root może użyć tych uprawnień do uszkodzenia i zainfekowania plików systemu operacyjnego niskiego poziomu.

Wpisz swoje hasło w oknie dialogowym zabezpieczeń, a otrzymasz uprawnienia root dla aplikacji. Tradycyjnie pozwala to na zrobienie czegokolwiek w systemie operacyjnym, chociaż wielu użytkowników Maców może tego nie zauważyło.

System Integrity Protection - znany również jako "rootless" - działa poprzez ograniczenie konta root. Jądro systemu operacyjnego samo sprawdza dostęp użytkownika root i nie pozwala mu wykonywać pewnych czynności, takich jak modyfikowanie chronionych lokalizacji lub wprowadzanie kodu do chronionych procesów systemowych. Wszystkie rozszerzenia jądra muszą być podpisane i nie można wyłączyć Ochrony integralności systemu z poziomu samego systemu Mac OS X.Aplikacje z podwyższonymi uprawnieniami root nie mogą już manipulować plikami systemowymi.

Najprawdopodobniej zauważysz to, jeśli spróbujesz napisać do jednego z następujących katalogów:

• / System
• / bin
• / usr
• / sbin

System OS X po prostu na to nie zezwoli, a zobaczysz "Operacja niedozwolona "wiadomość.System OS X również nie pozwoli ci zamontować innej lokalizacji nad jednym z tych chronionych katalogów, więc nie ma możliwości obejścia tego.

Pełna lista chronionych lokalizacji znajduje się na /System/Library/Sandbox/ rootless.conf na twoim Macu. Zawiera pliki takie jak aplikacje Mail.app i Chess.app zawarte w Mac OS X, więc nie możesz ich usunąć - nawet z wiersza poleceń jako użytkownik root. Oznacza to również, że złośliwe oprogramowanie nie może jednak modyfikować i infekować tych aplikacji.

Nieprzypadkowo usunięto opcję "naprawiania uprawnień dyskowych" w Narzędziu dyskowym - długo używanym do rozwiązywania różnych problemów Maca. Ochrona integralności systemu powinna w każdym razie zapobiegać manipulowaniu kluczowymi uprawnieniami do plików. Narzędzie dyskowe zostało przeprojektowane i nadal ma opcję "Pierwsza pomoc" do naprawy błędów, ale nie ma możliwości naprawy uprawnień.

Jak wyłączyć ochronę integralności systemu

Ostrzeżenie : Nie rób tego, chyba że masz ku temu dobry powód i dokładnie wiesz, co robisz! Większość użytkowników nie musi wyłączać tego ustawienia zabezpieczeń.Jego celem nie jest zapobieganie zakłócaniu działania systemu - ma to na celu zapobieganie włamaniom do systemu z powodu złośliwego oprogramowania i innych niewłaściwie zachowanych programów. Ale niektóre narzędzia niskiego poziomu mogą działać tylko wtedy, gdy mają nieograniczony dostęp.

Ustawienie Ochrony integralności systemu nie jest przechowywane w systemie Mac OS X jako takim. Zamiast tego jest przechowywany w pamięci NVRAM na każdym komputerze Mac. Można go modyfikować tylko ze środowiska przywracania.

Aby uruchomić system w trybie odzyskiwania, uruchom ponownie komputer Mac i przytrzymaj Command + R podczas uruchamiania. Wejdziesz do środowiska przywracania. Kliknij menu "Narzędzia" i wybierz "Terminal", aby otworzyć okno terminala.

Wpisz następujące polecenie w terminalu i naciśnij klawisz Enter, aby sprawdzić status:

csrutil status

Zobaczysz, czy ochrona integralności systemu jest włączona, czy nie.

Aby wyłączyć Ochronę integralności systemu, uruchom następującą komendę:

csrutil wyłącz

Jeśli zdecydujesz, że chcesz włączyć SIP później, wróć do środowiska przywracania i uruchom następującą komendę:

csrutil włącz

Uruchom ponownie komputer Mac i swoją nową Ochronę integralności systemuustawienie zacznie obowiązywać.Użytkownik root ma teraz pełny, nieograniczony dostęp do całego systemu operacyjnego i każdego pliku.

Jeśli wcześniej pliki były przechowywane w tych chronionych katalogach przed uaktualnieniem komputera Mac do wersji OS X 10.11 El Capitan, nie zostały one usunięte. Znajdziesz je przeniesione do katalogu /Library/SystemMigration/History/ Migration-( UUID) /QuarantineRoot/ na komputerze Mac.

Image Credit: Shinji on Flickr