Mac OS X 10.11 El Capitan chráni systémové súbory a procesy pomocou novej funkcie s názvom Ochrana integrity systému. SIP je funkcia na úrovni jadra, ktorá obmedzuje, čo môže urobiť root účet.
Je to vynikajúca funkcia zabezpečenia a takmer všetci - dokonca aj „výkonní používatelia“ a vývojári - by ju mali nechať povolenú. Ale ak skutočne potrebujete zmeniť systémové súbory, môžete ich obísť.
Čo je ochrana integrity systému?
súvisiace: Čo je Unix a prečo na tom záleží?
V systéme Mac OS X a ďalších operáciách typu UNIXsystémy, vrátane Linuxu, existuje „root“ účet, ktorý má tradične plný prístup k celému operačnému systému. Ak sa stanete používateľom root alebo získate oprávnenia typu root, získate prístup k celému operačnému systému a možnosť upravovať a mazať ľubovoľný súbor. Škodlivý softvér, ktorý získa oprávnenia typu root, by mohol tieto oprávnenia použiť na poškodenie a infikovanie súborov operačného systému nízkej úrovne.
Zadajte svoje heslo do bezpečnostného dialógového okna adostali ste oprávnenie typu root. To mu tradične umožňuje robiť s operačným systémom čokoľvek, aj keď mnohí používatelia počítačov Mac si to možno neuvedomili.
Ochrana integrity systému - tiež známa ako„Root root“ - funguje tak, že obmedzuje účet root. Samotné jadro operačného systému kontroluje prístup užívateľa root a nedovolí mu robiť určité veci, ako napríklad upravovať chránené umiestnenia alebo vkladať kód do chránených systémových procesov. Všetky rozšírenia jadra musia byť podpísané a v systéme Mac OS X nemôžete zakázať ochranu systémovej integrity. Aplikácie so zvýšenými oprávneniami typu root už nemôžu zasahovať do systémových súborov.
Pravdepodobne si to všimnete, ak sa pokúsite napísať do jedného z nasledujúcich adresárov:
- / System
- / bin
- / usr
- / sbin
OS X to jednoducho nedovolí a uvidíteSpráva „Prevádzka nie je povolená“. OS X vám tiež nedovolí namontovať iné miesto na jeden z týchto chránených adresárov, takže tu nie je žiadny spôsob.
Úplný zoznam chránených miest nájdete na/System/Library/Sandbox/rootless.conf na počítači Mac. Zahŕňa súbory ako aplikácie Mail.app a Chess.app, ktoré sú súčasťou systému Mac OS X, takže ich nemôžete odstrániť - dokonca ani z príkazového riadku ako užívateľ root. To tiež znamená, že škodlivý softvér ich nemôže modifikovať a infikovať.
Nie náhodou „oprávnenie na opravu disku“možnosť v nástroji Disk Utility - dlho používaná na riešenie rôznych problémov s počítačom Mac - bola teraz odstránená. Ochrana integrity systému by napriek tomu mala zabrániť neoprávnenému zasahovaniu do zásadných povolení súborov. Nástroj Disk Utility bol prepracovaný a stále obsahuje možnosť „First Aid“ (Prvá pomoc) na opravu chýb, ale neobsahuje žiadny spôsob opravy oprávnení.
Ako zakázať ochranu integrity systému
Výstraha: Nerobte to, pokiaľ nemáte veľmi dobré výsledkydôvod to urobiť a presne vedieť, čo robíte! Väčšina používateľov nebude musieť toto nastavenie zabezpečenia deaktivovať. Zámerom nie je zabrániť správam v systéme - zámerom je zabrániť tomu, aby sa v systéme zasielali škodlivý softvér a iné programy, ktoré sa správajú zle. Niektoré nízkoúrovňové programy však môžu fungovať, iba ak majú neobmedzený prístup.
súvisiace: 8 Funkcie systému Mac, ku ktorým máte prístup v režime obnovenia
Nastavenie ochrany integrity systému nie je uložené v samotnom systéme Mac OS X. Namiesto toho je uložený v NVRAM na každom jednotlivom počítači Mac. Môže byť zmenená iba z prostredia obnovy.
Ak chcete spustiť režim obnovenia, reštartujte počítač Mac a počas spúšťania podržte kláves Command + R. Zadáte prostredie na obnovenie. Kliknutím na ponuku „Utilities“ a výberom položky „Terminal“ otvorte okno terminálu.
Zadajte nasledujúci príkaz do terminálu a stlačením klávesu Enter skontrolujte stav:
csrutil status
Uvidíte, či je aktivovaná ochrana systémovej integrity.
Ak chcete vypnúť ochranu integrity systému, spustite nasledujúci príkaz:
csrutil vypnúť
Ak sa rozhodnete, že chcete SIP povoliť neskôr, vráťte sa do prostredia na obnovenie a spustite nasledujúci príkaz:
csrutil povoliť
Reštartujte počítač Mac a nové nastavenie ochrany systémovej integrity sa prejaví. Užívateľ root bude mať teraz plný neobmedzený prístup k celému operačnému systému a ku všetkým súborom.
Ak ste v nich predtým mali uložené súborychránené adresáre pred aktualizáciou vášho Mac na OS X 10.11 El Capitan, neboli odstránené. Nájdete ich presunuté do adresára / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na vašom počítači Mac.
Obrázok Kredit: Shinji na Flickri