Ako zakázať ochranu integrity systému na počítači Mac (a prečo by ste nemali)
Mac OS X 10.11 El Capitan chráni systémové súbory a procesy novou funkciou s názvom Ochrana integrity systému. SIP je funkcia na úrovni jadra, ktorá obmedzuje to, čo účet "root" môže robiť.
Je to skvelá bezpečnostná funkcia a takmer všetci - dokonca aj "výkonní používatelia" a vývojári - by to mali nechať povolené. Ale ak naozaj potrebujete upraviť systémové súbory, môžete ho obísť.
Čo je ochrana integrity systému?
V systéme Mac OS X a iných operačných systémoch podobných operačným systémom UNIX, vrátane Linuxu, existuje "root" účet, ktorý má tradičný plný prístup k celému operačnému systému. Stať sa užívateľom root - alebo získať root oprávnenia - umožňuje prístup k celému operačnému systému a možnosť meniť a mazať ľubovoľný súbor. Škodlivý softvér, ktorý získa koreňové oprávnenia, môže používať tieto oprávnenia na poškodenie a infikovanie súborov operačného systému na nízkej úrovni.
Zadajte svoje heslo do dialógového okna Zabezpečenie a zadali ste oprávnenia používateľa root. To tradične umožňuje, aby robila čokoľvek pre váš operačný systém, hoci mnohí používatelia Mac to pravdepodobne neuvedomili.
Ochrana integrity systému - tiež známa ako "bez koreňov" - funguje obmedzením účtu root. Samotné jadro operačného systému kontroluje prístup používateľa root a nedovoľuje mu robiť určité veci, napríklad modifikovať chránené miesta alebo vstreknúť kód do chránených systémových procesov. Všetky rozšírenia jadra musia byť podpísané a v systéme Mac OS X nemôžete zakázať ochranu integrity systému. Aplikácie so zvýšeným oprávneniami root nemôžu viac manipulovať so systémovými súbormi.
S najväčšou pravdepodobnosťou si to všimnete, ak sa pokúsite zapísať do jedného z nasledujúcich adresárov:
- / System
- / bin
- / usr
- / sbin
OS X to jednoducho nedovolí a zobrazí sa správa "Nie je povolená operácia". OS X tiež vám nedovolí pripojiť iné miesto cez jeden z týchto chránených adresárov, takže tu nie je žiadny spôsob.
Úplný zoznam chránených lokalít nájdete na lokalite /System/Library/Sandbox/rootless.conf na počítači Mac. Zahŕňa súbory, ako sú aplikácie Mail.app a Chess.app, ktoré sú súčasťou systému Mac OS X, takže ich nemožno odstrániť, a to ani z príkazového riadka ako používateľ root. To tiež znamená, že škodlivý softvér nemôže tieto aplikácie upravovať a infikovať.
Nie je to náhoda, že možnosť "oprávnenia na opravu disku" v nástroji Disk Utility - dlho používaná na riešenie problémov s rôznymi problémami so systémom Mac - bola odstránená. Ochrana integrity systému by mala zabrániť tomu, aby rozhodujúce práva na súbor boli narušené. Program Disk Utility bol prepracovaný a stále má možnosť "prvej pomoci" na opravu chýb, ale neobsahuje žiadny spôsob, ako opraviť povolenia.
Ako zakázať ochranu integrity systému
Výstraha: Nedávajte to, ak nemáte na to dobrý dôvod a presne vedieť, čo robíte! Väčšina používateľov nebude musieť toto nastavenie zabezpečenia zakázať. Nie je to zamýšľané na to, aby ste zabránili tomu, aby ste sa pokazili so systémom - jeho cieľom je zabrániť tomu, aby malware a iné zlé správané programy nemuseli fungovať v systéme. Niektoré nástroje nízkej úrovne však môžu fungovať len vtedy, ak majú neobmedzený prístup.
Nastavenie Ochrana integrity systému nie je uložené v samotnom systéme Mac OS X. Namiesto toho je uložený v NVRAM na každom počítači Mac. Môže byť upravená len z prostredia obnovy.
Ak chcete spustiť režim obnovenia, reštartujte počítač Mac a pridržte príkaz Command + R počas jeho zavádzania. Budete vstúpení do prostredia obnovy. Kliknite na ponuku "Pomôcky" a vyberte "Terminál" a otvorte okno terminálu.
Do terminálu zadajte nasledujúci príkaz a stlačením klávesu Enter skontrolujte stav:
stav csrutil
Uvidíte, či je ochrana integrity systému zapnutá alebo nie.
Ak chcete zakázať ochranu integrity systému, spustite nasledujúci príkaz:
csrutil zakázať
Ak sa rozhodnete, že chcete SIP povoliť neskôr, vráťte sa do prostredia obnovy a spustite nasledujúci príkaz:
csrutil umožniť
Reštartujte počítač Mac a vaše nové nastavenie zabezpečenia integrity systému sa prejaví. Používateľ root bude teraz mať úplný, neobmedzený prístup k celému operačnému systému a každému súboru.
Ak ste predtým mali súbory uložené v týchto chránených adresároch predtým, než ste inovovali váš Mac na OS X 10.11 El Capitan, neboli odstránené. Nájdete ich presunuté do priečinka / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na vašom počítači Mac.
Image Credit: Shinji na Flickr