13Aug

Kako onemogočiti zaščito integritete sistema na Macu( in zakaj ne smete)

Mac OS X 10.11 El Capitan ščiti sistemske datoteke in procese z novo funkcijo z imenom System Integrity Protection. SIP je funkcija na ravni jedra, ki omejuje, kaj lahko naredi račun "root".

To je odlična varnostna funkcija in skoraj vsi - tudi "uporabniki energije" in razvijalci - morajo to omogočiti. Ampak, če resnično potrebujete spreminjanje sistemskih datotek, ga lahko obidete.

Kaj je zaščita celovitosti sistema?

V operacijskem sistemu Mac OS X in drugih operacijskih sistemih, podobnih Unixom, vključno z Linuxom, obstaja "root" račun, ki ima tradicionalno poln dostop do celotnega operacijskega sistema. Postanek korenskega uporabnika - ali pridobivanje dovoljenj root - vam omogoča dostop do celotnega operacijskega sistema in možnost spreminjanja in brisanja katere koli datoteke. Zlonamerna programska oprema, ki pridobi dovoljenja za koren, bi lahko uporabila ta dovoljenja za poškodbe in okužbo nizkih ravni operacijskega sistema.

Vnesite geslo v varnostno pogovorno okno in dali ste dovoljenja root za aplikacijo. To običajno omogoča, da karkoli naredi vašemu operacijskemu sistemu, čeprav mnogi uporabniki tega računalnika morda tega niso izvedli.

Zaščita sistema integriteta - znan tudi kot "brez korenin" - funkcije, ki omejujejo root račun. Sam jedro operacijskega sistema izvaja preverjanje dostopa korenskega uporabnika in mu ne dovoli, da naredi nekatere stvari, na primer spreminjanje zaščitenih lokacij ali injektiranje kode v zaščitene sistemske procese. Vse razširitve jedra morate biti podpisane in ne morete onemogočiti sistemske integritete iz samega Mac OS X.Aplikacije z zvišanimi dovoljenji za root ne morejo več posegati v sistemske datoteke.

To najverjetneje opazite, če poskušate pisati v enega od naslednjih imenikov:

  • / System
  • / bin
  • / usr
  • / sbin

OS X to ne bo dovolil in boste videli "Operacija ni dovoljena ".OS X tudi vam ne bo dovolil namestitve druge lokacije prek enega od teh zaščitenih imenikov, zato ni možnosti za to.

Celoten seznam zaščitenih lokacij najdete na rootless.conf /System/Library/Sandbox/ na vašem računalniku Mac. Vključuje datoteke, kot so aplikacije Mail.app in Chess.app, vključene v Mac OS X, zato jih ne morete odstraniti - tudi iz ukazne vrstice kot root uporabnika. To tudi pomeni, da zlonamerne programske opreme ne morejo spremeniti in okužiti teh aplikacij.

Naključno, možnost »Možnosti popravljalnega diska« v orodju Disk Utility - dolgo uporabljana za odpravljanje različnih težav s sistemom Mac - je zdaj odstranjena. Zaščita sistemske integritete bi sicer morala preprečiti, da bi kljub vsemu vsebovala ključna dovoljenja za datoteke. Disk Utility je bil preoblikovan in ima še vedno možnost »prve pomoči« za popravljanje napak, vendar ne vključuje popravljanja dovoljenj.

Kako onemogočiti zaščito integritete sistema

Opozorilo : Ne storite tega, če imate zelo dober razlog za to in natančno veste, kaj počnete! Večini uporabnikov ne bo treba onemogočiti te varnostne nastavitve. Ne nameravajo vas preprečiti, da bi se zmotili s sistemom - namenjen je preprečevanju zlorabe zlonamerne programske opreme in drugih slabših programov. Toda nekateri pripomočki na nižji ravni lahko delujejo samo, če imajo neomejen dostop.

Nastavitev zaščite sistemske integritete ni shranjena v samem Mac OS X.Namesto tega je shranjen v NVRAM na vsakem posameznem računalniku Mac. Lahko se spremeni le iz okolja za obnovitev.

Če želite zagnati v obnovitvenem načinu, znova zaženite Mac in držite Command + R, ko se škorenj. Vnesli boste obnovitveno okolje. Kliknite "Utilities" menu in izberite "Terminal", da odprete terminalsko okno.

V terminal vnesite naslednji ukaz in pritisnite Enter, da preverite stanje: status

csrutil

Videli boste, ali je zaščita sistema integriteta omogočena ali ne.

Če želite onemogočiti zaščito sistemske integritete, zaženite ta ukaz:

onemogočite csrutil

Če se odločite, da želite pozneje omogočiti SIP, se vrnite v okolje za obnovitev in zaženite naslednji ukaz:

csrutil omogoči

Ponovno zaženite računalnik Mac in novo zaščito sistemanastavitev bo začela veljati. Uporabnik root bo zdaj imel svoj poln, neomejen dostop do celotnega operacijskega sistema in vsake datoteke.

Če ste predhodno shranili datoteke v teh zaščitenih imenikih, preden ste nadgradili svoj računalnik v OS X 10.11 El Capitan, niso bili izbrisani. V vašem računalniku Mac boste našli premaknjene v /QuarantineRoot/ imenik /Library/SystemMigration/History/ migracije( UUID).

Image Credit: Shinji na Flickr