Hogyan tilthatja le a rendszerintegritás-védelmet Mac-en (és miért nem kellene)

A Mac OS X 10.11 El Capitan a System Integrity Protection nevű új szolgáltatással védi a rendszerfájlokat és -folyamatokat. A SIP egy kernel szintű szolgáltatás, amely korlátozza a „root” fiók képességeit.

Ez egy nagyszerű biztonsági funkció, amelyet szinte mindenkinek - még az „energiafelhasználóknak” és a fejlesztőknek is - engedélyeznie kell. De, ha valóban módosítania kell a rendszerfájlokat, megkerülheti.

Mi a rendszerintegritás-védelem?

KAPCSOLÓDÓ: Mi az a Unix, és miért számít?

Mac OS X és más UNIX-szerű operációs rendszereken, beleértve a Linuxot is, létezik egy „root” fiók, amely hagyományosan teljes hozzáféréssel rendelkezik az egész operációs rendszerhez. A root felhasználóvá válás - vagy a root jogosultságok megszerzése - hozzáférést biztosít a teljes operációs rendszerhez, és bármilyen fájlt módosíthat és törölhet. A gyökérengedélyeket megszerző rosszindulatú programok felhasználhatják ezeket az engedélyeket az alacsony szintű operációs rendszer fájlok megsértésére és megfertőzésére.

Írja be jelszavát a biztonsági párbeszédpanelen, és megadta az alkalmazás gyökérengedélyeit. Ez hagyományosan lehetővé teszi, hogy bármit megtegyen az operációs rendszerrel, bár sok Mac-felhasználó talán nem is jött rá.

A rendszerintegritás-védelem - más néven „gyökér nélküli” - a root-fiók korlátozásával működik. Az operációs rendszermag maga ellenőrzi a root felhasználó hozzáférését, és nem teszi lehetővé bizonyos dolgok elvégzését, például a védett helyek módosítását vagy a védett rendszer folyamataiba történő kód beírását. Minden kernelbővítményt alá kell írni, és nem tilthatja le a Rendszerintegritás-védelmet a Mac OS X-en belül. A megemelt gyökérengedéllyel rendelkező alkalmazások már nem képesek megváltoztatni a rendszerfájlokat.

Akkor veszi észre ezt a legvalószínűbb, ha megpróbál írni a következő könyvtárak egyikébe:

  • /Rendszer
  • /kuka
  • / usr
  • / sbin

Az OS X egyszerűen nem engedélyezi, és megjelenik egy „Művelet nem engedélyezett” üzenet. Az OS X emellett nem teszi lehetővé, hogy egy másik helyet csatlakoztasson e védett könyvtárak egyikére, ezért nincs erre lehetőség.

A védett helyek teljes listája a /System/Library/Sandbox/rootless.conf oldalon található a Mac-en. Olyan fájlokat tartalmaz, mint a Mac OS X-hez mellékelt Mail.app és Chess.app alkalmazások, így ezeket nem lehet eltávolítani - még root felhasználóként sem a parancssorból. Ez azt is jelenti, hogy a rosszindulatú programok azonban nem tudják módosítani és megfertőzni ezeket az alkalmazásokat.

Nem véletlen, hogy a Lemez segédprogram „javítási lemezengedélyek” opcióját - amelyet régóta használnak a különböző Mac-problémák elhárításához - mára eltávolították. A rendszerintegritás-védelemnek mindenképpen meg kell akadályoznia a fontos fájlengedélyek meghamisítását. A Lemez segédprogramot újratervezték, és továbbra is rendelkezik „Elsősegély” lehetőséggel a hibák kijavítására, de nem tartalmazza az engedélyek javításának módját.

Hogyan lehet kikapcsolni a rendszerintegritás-védelmet

Figyelem : Csak akkor tegye ezt, ha nagyon jó oka van rá, és pontosan tudja, mit csinál! A legtöbb felhasználónak nem kell letiltania ezt a biztonsági beállítást. Nem célja, hogy megakadályozza a rendszerrel való rendetlenséget - megakadályozza a rosszindulatú programokat és más rosszul viselkedő programokat a rendszerrel. Néhány alacsony szintű segédprogram csak akkor működhet, ha korlátlan hozzáféréssel rendelkezik.

KAPCSOLÓDÓ: 8 Mac rendszerjellemző, amelyeket helyreállítási módban érhet el

A Rendszerintegritás-védelem beállítást nem maga a Mac OS X tárolja. Ehelyett minden egyes Mac NVRAM-ban tárolja. Csak a helyreállítási környezetből módosítható.

Helyreállítási módba történő indításhoz indítsa újra a Mac-et, és indítás közben tartsa lenyomva a Command + R billentyűkombinációt. Belép a helyreállítási környezetbe. Kattintson a „Segédprogramok” menüre, és válassza a „Terminal” lehetőséget a terminálablak megnyitásához.

Írja be a következő parancsot a terminálba, és nyomja meg az Enter billentyűt az állapot ellenőrzéséhez:

csrutil státusz

Meglátja, hogy a Rendszerintegritás védelem engedélyezve van-e vagy sem.

A rendszerintegritás-védelem letiltásához futtassa a következő parancsot:

csrutil letiltása

Ha úgy dönt, hogy később engedélyezi a SIP-t, térjen vissza a helyreállítási környezetbe, és futtassa a következő parancsot:

csrutil engedélyezése

Indítsa újra a Mac-et, és az új Rendszerintegritás-védelmi beállítás életbe lép. A root felhasználónak teljes, korlátlan hozzáférése lesz az egész operációs rendszerhez és minden fájlhoz.

Ha korábban már fájlokat tárolt ezekben a védett könyvtárakban, mielőtt frissítette volna Mac-jét OS X 10.11 El Capitan rendszerre, akkor azokat nem törölték. Megtalálja őket a / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / könyvtárba a Mac-en.

Kép jóváírás: Shinji a Flickr-en