13Aug
Mac OS X 10.11 El Capitan chráni systémové súbory a procesy novou funkciou s názvom Ochrana integrity systému. SIP je funkcia na úrovni jadra, ktorá obmedzuje to, čo môže robiť "root" účet.
Toto je skvelá bezpečnostná funkcia a takmer všetci - dokonca aj "výkonní používatelia" a vývojári - by to mali nechať.Ale ak naozaj potrebujete upraviť systémové súbory, môžete to vynechať.
Čo je ochrana integrity systému?
V systéme Mac OS X a iných operačných systémoch podobných operačným systémom UNIX, vrátane Linuxu, existuje "root" účet, ktorý má tradičný plný prístup k celému operačným systémom. Stať sa užívateľom root - alebo získať root oprávnenia - umožňuje prístup k celému operačným systémom a možnosť meniť a mazať akýkoľvek súbor.Škodlivý softvér, ktorý získa koreňové oprávnenia, môže používať tieto oprávnenia na poškodenie a infikovanie súborov operačného systému na nízkej úrovni.
Zadajte svoje heslo do dialógového okna zabezpečenia a zadali ste oprávnenia používateľa root. To tradične umožňuje, aby robila čokoľvek pre váš operačný systém, hoci mnohí používatelia Mac to pravdepodobne neuvedomili.
Ochrana integrity systému - tiež známa ako "bez koreňov" - funguje obmedzením účtu root. Samotné jadro operačného systému kontroluje prístup používateľa root a neumožní mu robiť určité veci, napríklad modifikovať chránené miesta alebo vstreknúť kód do chránených systémových procesov. Všetky rozšírenia jadra musia byť podpísané a v systéme Mac OS X nemožno zakázať ochranu systému integrity. Aplikácie so zvýšeným oprávneniami root nemôžu ďalej manipulovať so systémovými súbormi.
S najväčšou pravdepodobnosťou si to všimnete, ak sa pokúsite zapísať do jedného z nasledujúcich adresárov:
- / System
- / bin
- / usr
- / sbin
OS X to jednoducho nedovolí a uvidíte "Prevádzka nie je povolená ".OS X tiež vám neumožní pripojiť iné miesto cez jeden z týchto chránených adresárov, takže nie je tam žiadna cesta okolo.
Úplný zoznam chránených lokalít nájdete na adrese /System/Library/Sandbox/ rootless.conf na počítači Mac. Zahŕňa súbory, ako sú aplikácie Mail.app a Chess.app, ktoré sú súčasťou operačného systému Mac OS X, takže ich nemožno odstrániť, a to ani z príkazového riadka ako používateľ root. To tiež znamená, že škodlivý softvér nemôže tieto aplikácie upravovať a infikovať.
Nie je náhodou možnosť "oprávnenia na opravu disku" v nástroji Disk Utility - dlho používaná na riešenie problémov s rôznymi problémami so systémom Mac - a bola odstránená.Ochrana integrity systému by mala zabrániť tomu, aby rozhodujúce práva na súbor boli narušené.Program Disk Utility bol prepracovaný a stále má možnosť "Prvá pomoc" na opravu chýb, ale neobsahuje žiadny spôsob ako opraviť povolenia.
Ako zakázať ochranu integrity systému
Upozornenie : Nedávajte to, ak nemáte na to veľmi dobrý dôvod a presne vedieť, čo robíte! Väčšina používateľov nebude musieť toto nastavenie zabezpečenia zakázať.Nie je zamýšľané zabrániť tomu, aby ste prekonali problémy so systémom - jeho cieľom je zabrániť tomu, aby sa škodlivý softvér a iné programy, ktoré sa správali zle správaním, nespájali so systémom. Niektoré pomôcky na nízkej úrovni však môžu fungovať len vtedy, ak majú neobmedzený prístup.
Nastavenie ochrany integrity systému nie je uložené v samotnom systéme Mac OS X.Namiesto toho je uložený v NVRAM na každom počítači Mac. Môže sa meniť iba z prostredia obnovy.
Ak chcete zaviesť do režimu obnovy, reštartujte počítač Mac a podržte príkaz Command + R počas zavádzania. Vstupujete do prostredia obnovy. Kliknite na ponuku "Pomôcky" a vyberte "Terminál" a otvorte okno terminálu.
Do terminálu zadajte nasledujúci príkaz a stlačte Enter na skontrolovanie stavu:
csrutil status
Uvidíte, či je aktivovaná ochrana integrity systému alebo nie. Ak chcete zakázať ochranu integrity systému, spustite nasledujúci príkaz:
csrutil vypnúť
Ak sa rozhodnete, že chcete povoliť SIP neskôr, vráťte sa do prostredia na obnovenie a spustite nasledujúci príkaz:
csrutil enable
Reštartujte Mac a novú ochranu systému integritynastavenie nadobudne účinnosť.Používateľ root bude teraz mať úplný, neobmedzený prístup k celému operačnému systému a každému súboru.
Ak ste predtým mali súbory uložené v týchto chránených adresároch skôr, ako ste inovovali váš Mac na OS X 10.11 El Capitan, neboli odstránené.Nájdete ich presunuté do adresára /Library/SystemMigration/History/ migrácie( UUID) /QuarantineRoot/ na počítači Mac.
Image Credit: Shinji na Flickr