13Aug
Мац ОС Кс 10.11 Ел Цапитан штити системске датотеке и процесе новом функцијом под називом Систем Интегрити Протецтион.СИП је функција на нивоу кернела која ограничава шта "роот" рачун може учинити.
Ово је сјајна безбедносна функција, и скоро сви - чак и "корисници енергије" и програмери - требају га оставити омогућеним.Али, ако стварно требате промијенити системске датотеке, можете га заобићи.
Шта је заштита система интегритета?
На Мац ОС Кс и другим оперативним системима попут УНИКС-а, укључујући Линук, постоји и "роот" рачун који традиционално има пун приступ целом оперативном систему.Постати корисник роот-а или добијате дозволе роот-а - даје вам приступ читавом оперативном систему и могућност модификације и брисања било које датотеке.Малваре који добија роот дозволе може користити те дозволе за оштећење и заразити датотеке ниског нивоа оперативног система.
Унесите лозинку у безбедносни дијалог и дали сте роот дозволе апликације.Ово традиционално дозвољава да било шта уради вашем оперативном систему, иако многи Мац корисници то можда нису схватили.
Заштита система интегритета - такође позната и као "без корена" - функције ограничавајући роот налог.Сама кернел оперативног система ставља проверу приступа коријенског корисника и неће му дозволити да врши одређене ствари, као што је измјена заштићених локација или ињектирање кода у заштићене системске процесе.Све надоградње кернела морају бити потписане, а не можете искључити Систем Интегрити Протецтион из самог Мац ОС Кс-а.Апликације са повишеним дозволама за роот не могу више да ометају системске датотеке.
Највероватније ћете то приметити ако покушате да пишете у један од следећих директоријума:
- / Систем
- / бин
- / уср
- / сбин
ОС Кс једноставно неће дозволити, а видећете "Операција није допуштена "порука.ОС Кс такође неће дозволити да поставите другу локацију преко једног од ових заштићених директорија, тако да нема шансе око овога.
Потпуна листа заштићених локација налази се на /System/Library/Sandbox/ роотлесс.цонф на вашем Мац рачунару.Укључује датотеке као што су Маил.апп и Цхесс.апп апликације које су укључене у Мац ОС Кс, тако да их не можете уклонити - чак и из командне линије као роот корисника.То такође значи да малваре не може да мења и инфицира ове апликације, међутим.
Случајно, опција "поправка диск пермисије" у програму Диск Утилити - дуго се користи за решавање проблема различитих проблема са Мац-ом је сада уклоњена.Заштита интегритета система би у сваком случају требало да спречи да кључне датотеке дозволе измене.Диск Утилити је редизајниран и још увек има опцију "Прва помоћ" за поправку грешака, али не укључује начин поправљања дозвола.
Како онемогућити заштиту интегритета система
Упозорење : Немојте то радити, осим ако имате веома добар разлог за то и знате тачно шта радите!Већина корисника неће морати да онемогући ову сигурносну поставку.Не намерава вас спречити да се забравите са системом - има намеру да спречи злонамерне програме и друге лоше понашане програме да се премештају у систем.Међутим, неки корисници на ниском нивоу могу функционисати само ако имају неограничен приступ.
Подешавање заштите интегритета система није сачувано у самом Мац ОС Кс-у.Уместо тога, он је смештен у НВРАМ на сваком појединачном Мац рачунару.Може се модификовати само из окружења за опоравак.
Да бисте покренули режим за опоравак, поново покрените Мац и држите Цомманд + Р у току чизме.Уђете у окружење за опоравак.Кликните на мени "Утилитиес" и изаберите "Терминал" да бисте отворили прозор терминала.
Укуцајте следећу команду у терминал и притисните Ентер да бисте проверили статус:
статус цсрутил
Видјет ћете да је заштита система Интегрити заштита омогућена или не.
Да бисте онемогућили Систем Интегрити Протецтион, покрените следећу команду:
цсрутил дисабле
Ако одлучите да желите касније да омогућите СИП, вратите се у опоравак окружења и покрените следећу команду:
цсрутил омогућити
Поново покрените свој Мац и вашу нову Систем Интегрити Протецтионподешавање ће ступити на снагу.Коријен корисник ће сада имати свој пуни, неограничен приступ цијелом оперативном систему и сваку датотеку.
Ако сте претходно имали датотеке сачуване у овим заштићеним директоријима пре него што сте надоградили свој Мац на ОС Кс 10.11 Ел Цапитан, они нису избрисани.Наћи ћете да су премештени у /QuarantineRoot/ директоријум /QuarantineRoot/ на вашем Мац рачунару.
Имаге Цредит: Схињи на Флицкр