Úvodná » ako » Ako zakázať ochranu integrity systému na počítači Mac (a prečo by ste nemali)

    Ako zakázať ochranu integrity systému na počítači Mac (a prečo by ste nemali)

    Mac OS X 10.11 El Capitan chráni systémové súbory a procesy novou funkciou s názvom Ochrana integrity systému. SIP je funkcia na úrovni jadra, ktorá obmedzuje to, čo účet "root" môže robiť.

    Je to skvelá bezpečnostná funkcia a takmer všetci - dokonca aj "výkonní používatelia" a vývojári - by to mali nechať povolené. Ale ak naozaj potrebujete upraviť systémové súbory, môžete ho obísť.

    Čo je ochrana integrity systému?

    V systéme Mac OS X a iných operačných systémoch podobných operačným systémom UNIX, vrátane Linuxu, existuje "root" účet, ktorý má tradičný plný prístup k celému operačnému systému. Stať sa užívateľom root - alebo získať root oprávnenia - umožňuje prístup k celému operačnému systému a možnosť meniť a mazať ľubovoľný súbor. Škodlivý softvér, ktorý získa koreňové oprávnenia, môže používať tieto oprávnenia na poškodenie a infikovanie súborov operačného systému na nízkej úrovni.

    Zadajte svoje heslo do dialógového okna Zabezpečenie a zadali ste oprávnenia používateľa root. To tradične umožňuje, aby robila čokoľvek pre váš operačný systém, hoci mnohí používatelia Mac to pravdepodobne neuvedomili.

    Ochrana integrity systému - tiež známa ako "bez koreňov" - funguje obmedzením účtu root. Samotné jadro operačného systému kontroluje prístup používateľa root a nedovoľuje mu robiť určité veci, napríklad modifikovať chránené miesta alebo vstreknúť kód do chránených systémových procesov. Všetky rozšírenia jadra musia byť podpísané a v systéme Mac OS X nemôžete zakázať ochranu integrity systému. Aplikácie so zvýšeným oprávneniami root nemôžu viac manipulovať so systémovými súbormi.

    S najväčšou pravdepodobnosťou si to všimnete, ak sa pokúsite zapísať do jedného z nasledujúcich adresárov:

    • / System
    • / bin
    • / usr
    • / sbin

    OS X to jednoducho nedovolí a zobrazí sa správa "Nie je povolená operácia". OS X tiež vám nedovolí pripojiť iné miesto cez jeden z týchto chránených adresárov, takže tu nie je žiadny spôsob.

    Úplný zoznam chránených lokalít nájdete na lokalite /System/Library/Sandbox/rootless.conf na počítači Mac. Zahŕňa súbory, ako sú aplikácie Mail.app a Chess.app, ktoré sú súčasťou systému Mac OS X, takže ich nemožno odstrániť, a to ani z príkazového riadka ako používateľ root. To tiež znamená, že škodlivý softvér nemôže tieto aplikácie upravovať a infikovať.

    Nie je to náhoda, že možnosť "oprávnenia na opravu disku" v nástroji Disk Utility - dlho používaná na riešenie problémov s rôznymi problémami so systémom Mac - bola odstránená. Ochrana integrity systému by mala zabrániť tomu, aby rozhodujúce práva na súbor boli narušené. Program Disk Utility bol prepracovaný a stále má možnosť "prvej pomoci" na opravu chýb, ale neobsahuje žiadny spôsob, ako opraviť povolenia.

    Ako zakázať ochranu integrity systému

    Výstraha: Nedávajte to, ak nemáte na to dobrý dôvod a presne vedieť, čo robíte! Väčšina používateľov nebude musieť toto nastavenie zabezpečenia zakázať. Nie je to zamýšľané na to, aby ste zabránili tomu, aby ste sa pokazili so systémom - jeho cieľom je zabrániť tomu, aby malware a iné zlé správané programy nemuseli fungovať v systéme. Niektoré nástroje nízkej úrovne však môžu fungovať len vtedy, ak majú neobmedzený prístup.

    Nastavenie Ochrana integrity systému nie je uložené v samotnom systéme Mac OS X. Namiesto toho je uložený v NVRAM na každom počítači Mac. Môže byť upravená len z prostredia obnovy.

    Ak chcete spustiť režim obnovenia, reštartujte počítač Mac a pridržte príkaz Command + R počas jeho zavádzania. Budete vstúpení do prostredia obnovy. Kliknite na ponuku "Pomôcky" a vyberte "Terminál" a otvorte okno terminálu.

    Do terminálu zadajte nasledujúci príkaz a stlačením klávesu Enter skontrolujte stav:

    stav csrutil

    Uvidíte, či je ochrana integrity systému zapnutá alebo nie.

    Ak chcete zakázať ochranu integrity systému, spustite nasledujúci príkaz:

    csrutil zakázať

    Ak sa rozhodnete, že chcete SIP povoliť neskôr, vráťte sa do prostredia obnovy a spustite nasledujúci príkaz:

    csrutil umožniť

    Reštartujte počítač Mac a vaše nové nastavenie zabezpečenia integrity systému sa prejaví. Používateľ root bude teraz mať úplný, neobmedzený prístup k celému operačnému systému a každému súboru.


    Ak ste predtým mali súbory uložené v týchto chránených adresároch predtým, než ste inovovali váš Mac na OS X 10.11 El Capitan, neboli odstránené. Nájdete ich presunuté do priečinka / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na vašom počítači Mac.

    Image Credit: Shinji na Flickr