Główna » jak » Jak wyłączyć ochronę integralności systemu na komputerze Mac (i dlaczego nie powinieneś)

    Jak wyłączyć ochronę integralności systemu na komputerze Mac (i dlaczego nie powinieneś)

    Mac OS X 10.11 El Capitan chroni pliki systemowe i procesy za pomocą nowej funkcji o nazwie System Integrity Protection. SIP to funkcja na poziomie jądra, która ogranicza to, co może zrobić konto "root".

    Jest to świetna funkcja bezpieczeństwa i prawie wszyscy - nawet "zaawansowani użytkownicy" i programiści - powinni ją włączyć. Ale jeśli naprawdę potrzebujesz zmodyfikować pliki systemowe, możesz je ominąć.

    Co to jest ochrona integralności systemu?

    W systemie Mac OS X i innych systemach operacyjnych podobnych do UNIX, w tym Linux, istnieje konto "root", które tradycyjnie ma pełny dostęp do całego systemu operacyjnego. Zostanie użytkownikiem root - lub uzyskanie uprawnień root'a - daje dostęp do całego systemu operacyjnego oraz możliwość modyfikowania i usuwania dowolnego pliku. Złośliwe oprogramowanie, które uzyskuje uprawnienia root może użyć tych uprawnień do uszkodzenia i zainfekowania plików systemu operacyjnego niskiego poziomu.

    Wpisz swoje hasło w oknie dialogowym zabezpieczeń, a otrzymasz uprawnienia root aplikacji. Tradycyjnie pozwala to na zrobienie czegokolwiek w systemie operacyjnym, chociaż wielu użytkowników Maców może tego nie zauważyło.

    System Integrity Protection - znany również jako "rootless" - działa poprzez ograniczenie konta root. Jądro systemu operacyjnego samo sprawdza dostęp użytkownika root i nie pozwala mu wykonywać pewnych czynności, takich jak modyfikowanie chronionych lokalizacji lub wprowadzanie kodu do chronionych procesów systemowych. Wszystkie rozszerzenia jądra muszą być podpisane i nie można wyłączyć Ochrony integralności systemu z poziomu samego systemu Mac OS X. Aplikacje z podwyższonymi uprawnieniami root nie mogą już manipulować plikami systemowymi.

    Najprawdopodobniej zauważysz to, jeśli spróbujesz napisać do jednego z następujących katalogów:

    • /System
    • /kosz
    • / usr
    • / sbin

    System OS X po prostu na to nie zezwoli, a zobaczysz komunikat "Operacja niedozwolona". OS X także nie pozwoli ci zamontować innej lokalizacji nad jednym z tych chronionych katalogów, więc nie ma możliwości obejścia tego.

    Pełna lista chronionych lokalizacji znajduje się w /System/Library/Sandbox/rootless.conf na twoim Macu. Zawiera pliki takie jak aplikacje Mail.app i Chess.app zawarte w Mac OS X, więc nie możesz ich usunąć - nawet z wiersza poleceń jako użytkownik root. Oznacza to również, że złośliwe oprogramowanie nie może jednak modyfikować i infekować tych aplikacji.

    Nieprzypadkowo usunięto opcję "naprawiania uprawnień dyskowych" w Narzędziu dyskowym - długo używanym do rozwiązywania problemów z komputerami Mac. Ochrona integralności systemu powinna w każdym razie zapobiegać manipulowaniu kluczowymi uprawnieniami do plików. Narzędzie dyskowe zostało przeprojektowane i nadal ma opcję "Pierwsza pomoc" w celu naprawy błędów, ale nie ma możliwości naprawy uprawnień.

    Jak wyłączyć ochronę integralności systemu

    Ostrzeżenie: Nie rób tego, chyba że masz ku temu dobry powód i dokładnie wiesz, co robisz! Większość użytkowników nie musi wyłączać tego ustawienia zabezpieczeń. Jego celem nie jest zapobieganie zakłóceniom w działaniu systemu - ma to na celu zapobieganie złośliwemu oprogramowaniu i innym niewłaściwym zachowaniom programów. Jednak niektóre narzędzia niskiego poziomu mogą działać tylko wtedy, gdy mają nieograniczony dostęp.

    Ustawienie System Integrity Protection nie jest przechowywane w systemie Mac OS X. Zamiast tego jest on przechowywany w pamięci NVRAM na każdym komputerze Mac. Można go modyfikować tylko ze środowiska przywracania.

    Aby uruchomić komputer w trybie odzyskiwania, uruchom ponownie komputer Mac i przytrzymaj Command + R podczas uruchamiania. Wejdziesz do środowiska przywracania. Kliknij menu "Narzędzia" i wybierz "Terminal", aby otworzyć okno terminala.

    Wpisz następujące polecenie w terminalu i naciśnij klawisz Enter, aby sprawdzić status:

    status csrutil

    Zobaczysz, czy Ochrona integralności systemu jest włączona, czy nie.

    Aby wyłączyć Ochronę integralności systemu, uruchom następujące polecenie:

    csrutil wyłącz

    Jeśli zdecydujesz, że chcesz włączyć protokół SIP później, wróć do środowiska przywracania i uruchom następujące polecenie:

    Włączenie csrutil

    Uruchom ponownie komputer Mac i zostanie wprowadzone nowe ustawienie Ochrony integralności systemu. Użytkownik root ma teraz pełny, nieograniczony dostęp do całego systemu operacyjnego i każdego pliku.


    Jeśli wcześniej pliki były przechowywane w tych chronionych katalogach przed uaktualnieniem komputera Mac do wersji OS X 10.11 El Capitan, nie zostały one usunięte. Znajdziesz je przeniesione do katalogu / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na komputerze Mac.

    Image Credit: Shinji on Flickr