If-Koubou

Как да деактивирате защитата на интегритета на системата на Mac (и защо не трябва)

Как да деактивирате защитата на интегритета на системата на Mac (и защо не трябва) (Как да)

Mac OS X 10.11 El Capitan защитава системните файлове и процеси с нова функция, наречена защита на интегритета на системата. SIP е функция на ниво ядро, което ограничава какво може да направи профилът "root".

Това е страхотна функция за защита и почти всички - дори "потребители на енергия" и разработчици - трябва да я оставят активирани. Но ако наистина трябва да промените системните файлове, можете да го заобиколите.

Какво представлява защитата на интегритета на системата?

На Mac OS X и други операционни системи, подобни на UNIX, включително Linux, има "root" акаунт, който традиционно има пълен достъп до цялата операционна система. Ставайки потребител на root или придобиване на root права, ви дава достъп до цялата операционна система и възможността да променяте и изтривате всеки файл. Злонамереният софтуер, който получава root разрешения, може да използва тези разрешения, за да повреди и зарази файловете на операционната система на ниско ниво.

Въведете паролата си в диалогов прозорец за защита и сте дали коренните разрешения на приложението. Това традиционно му позволява да направи нещо за вашата операционна система, въпреки че много потребители на Mac може да не са осъзнали това.

Защитата на интегритета на системата - известна още като "без корени" - функционира чрез ограничаване на коренния профил. Самата ядро ​​на операционната система прави проверки на достъпа на root потребител и няма да му позволи да прави определени неща, като например модифициране на защитени местоположения или инжектиране на код в защитени системни процеси. Всички разширения на ядрото трябва да бъдат подписани и не можете да деактивирате защитата на интегритета на системата от самия Mac OS X. Приложенията с повишени коренни разрешения вече не могат да се намесват със системни файлове.

Най-вероятно ще забележите това, ако се опитате да напишете някоя от следните директории:

  • /Система
  • / бин
  • / ЮЕсАр
  • / sbin

OS X просто няма да го позволи и ще видите съобщение "Не е позволено операцията". OS X също така няма да ви позволи да свържете друго място над една от тези защитени директории, така че няма начин за това.

Пълният списък със защитени местоположения се намира в /System/Library/Sandbox/rootless.conf на вашия Mac. Той включва файлове като приложенията Mail.app и Chess.app, включени в Mac OS X, така че не можете да ги премахнете - дори и от командния ред като root потребител. Това също означава, че злонамереният софтуер не може да променя и заразява тези приложения.

Не случайно опцията "разрешения за ремонт на дискове" в Disk Utility - дълго използвана за отстраняване на различни проблеми с Mac - вече е премахната. Защитата на интегритета на системата трябва да предотвратява манипулирането на важни файлови разрешения. Disk Utility е преработен и все още има опция "First Aid" за поправка на грешки, но не включва никакъв начин за ремонт на разрешения.

Как да деактивирате защитата на интегритета на системата

Внимание: Не правете това, освен ако нямате много добра причина да го направите и знаете точно какво правите! Повечето потребители няма да трябва да деактивират тази настройка за сигурност. Не е предназначено да ви предпази от объркване със системата - това е предназначено да предотврати пренасянето на зловреден софтуер и други програми с лошо поведение от системата. Някои от помощните програми на ниско ниво обаче могат да функционират само ако имат неограничен достъп.

Настройката за защита на интегритета на системата не се съхранява в самия Mac OS X. Вместо това, той се съхранява в NVRAM на всеки отделен Mac. Тя може да бъде променяна само от средата за възстановяване.

За да заредите в режим за възстановяване, рестартирайте Mac и задръжте Command + R докато зареди. Ще влезете в средата за възстановяване. Кликнете върху менюто "Помощни програми" и изберете "Терминал", за да отворите прозорец на терминала.

Въведете следната команда в терминала и натиснете Enter, за да проверите състоянието:

csrutil статус

Ще видите дали защитата на интегритета на системата е активирана или не.

За да забраните защитата на интегритета на системата, изпълнете следната команда:

csrutil изключете

Ако решите, че искате да активирате SIP по-късно, върнете се към средата за възстановяване и изпълнете следната команда:

csrutil позволи

Рестартирайте Mac и новата настройка за защита на интегритета на системата ще влезе в сила. Потребителят на root ще има пълен, неограничен достъп до цялата операционна система и всеки файл.

Ако преди сте имали файлове, съхранявани в тези защитени директории, преди да надстроите своя Mac на OS X 10.11 El Capitan, те не са били изтрити. Ще ги намерите преместени в директорията / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / на Mac.

Image Credit: Шинджи на Flickr