Kuidas blokeerida süsteemi terviklikkuse kaitse Mac'is (ja miks sa ei peaks seda tegema)
Mac OS X 10.11 El Capitan kaitseb süsteemi faile ja protsesse uue funktsiooniga System Integrity Protection. SIP on kerneli taseme funktsioon, mis piirab seda, mida „root” konto saab teha.
See on suurepärane turvaelement, ja peaaegu kõik - isegi "võimsuse kasutajad" ja arendajad - peaksid selle lubama. Aga kui teil on tõesti vaja muuta süsteemi faile, saate seda mööda mööda minna.
Mis on süsteemi terviklikkuse kaitse?
Mac OS Xis ja teistes UNIX-tüüpi operatsioonisüsteemides, sealhulgas Linuxis, on olemas „root” konto, millel on traditsiooniliselt täielik juurdepääs kogu operatsioonisüsteemile. Juurdepääs juurkasutajale või root-õiguste saamine annab teile juurdepääsu kogu operatsioonisüsteemile ja võime muuta ja kustutada mis tahes faili. Juurdepääsuvõimalusi omav pahavara võib neid õigusi kasutada madala taseme operatsioonisüsteemi failide kahjustamiseks ja nakatamiseks.
Sisestage oma parool turvasialoogi ja olete andnud rakenduse juurepääsu õigused. See võimaldab traditsiooniliselt midagi teie operatsioonisüsteemiga teha, kuigi paljud Maci kasutajad ei pruugi seda teha.
Süsteemi Integrity Protection - tuntud ka kui “rootless” - funktsioone, piirates juurikontot. Operatsioonisüsteemi tuum ise kontrollib juurkasutaja juurdepääsu ja ei luba tal teha teatud asju, näiteks muuta kaitstud asukohti või süstida koodi kaitstud süsteemiprotsessidesse. Kõik kerneli laiendid peavad olema allkirjastatud ja te ei saa keelata süsteemi terviklikkuse kaitset Mac OS Xi siseselt. Kõrgendatud root-õigustega rakendused ei saa enam süsteemi faile rikkuda.
Olete tõenäoliselt seda märganud, kui üritate kirjutada ühte järgmistest kataloogidest:
- / Süsteem
- / bin
- / usr
- / sbin
OS X seda lihtsalt ei luba ja näete sõnumit „Operatsioon ei ole lubatud”. Samuti ei luba OS X teil paigaldada ühte neist kaitstud kataloogidest teise, nii et selle ümber ei ole.
Kaitstud kohtade täielik loetelu on teie Macis /System/Library/Sandbox/rootless.conf. See sisaldab selliseid faile nagu Mac OS Xi kuuluvad rakendused Mail.app ja Chess.app, nii et neid ei saa eemaldada - isegi käsurealt juurkasutajana. See tähendab ka seda, et pahavara ei saa neid rakendusi muuta ja nakatada.
Mitte juhuslikult on nüüd eemaldatud kettapõhise abivahendi „remondiketta õigused”, mida kasutatakse paljude Maci probleemide tõrkeotsinguks. Süsteemi terviklikkuse kaitse peaks igal juhul takistama oluliste failide lubamist. Disk Utility on ümber kujundatud ja sellel on vigade parandamiseks ikka veel „First Aid“ võimalus, kuid see ei hõlma õigusi.
Süsteemi terviklikkuse kaitse keelamine
Hoiatus: Ära tee seda, kui teil pole väga head põhjust seda teha ja täpselt teada, mida te teete! Enamik kasutajaid ei pea seda turvaseadet keelama. See ei ole mõeldud selleks, et takistada teid süsteemiga segamast - see on mõeldud selleks, et takistada pahavara ja muid halvasti käitunud programme süsteemiga segamast. Kuid mõned madalatasemelised kommunaalteenused võivad toimida ainult siis, kui neil on piiramatu juurdepääs.
Süsteemi Integrity Protection seadet ei salvestata Mac OS Xi ise. Selle asemel salvestatakse see iga Mac'i jaoks NVRAMis. Seda saab muuta ainult taastamiskeskkonnast.
Taastamise režiimi käivitamiseks taaskäivitage Mac ja hoidke käsku Command + R. Te sisenete taastamiskeskkonda. Klõpsake menüükäsku Utilities (Utiliidid) ja valige terminali akna avamiseks terminali.
Sisestage terminalisse järgmine käsk ja vajutage oleku kontrollimiseks Enter.
csrutili staatus
Näete, kas süsteemi terviklikkuse kaitse on lubatud või mitte.
Süsteemi terviklikkuse kaitse keelamiseks käivitage järgmine käsk:
csrutil keelata
Kui otsustate hiljem SIP-i lubada, naaske taastekeskkonda ja käivitage järgmine käsk:
csrutil lubab
Taaskäivitage oma Mac ja uus süsteemi Integrity Protection seade jõustub. Juurkasutajal on nüüd täielik, piiramatu juurdepääs kogu operatsioonisüsteemile ja kõikidele failidele.
Kui teil oli enne nende Mac OS X 10.11 El Capitan'i täiendamist varem kaitstud kataloogidesse salvestatud faile, pole neid kustutatud. Leiad, et need on teie Maci / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / kataloogi teisaldatud.
Pildikrediit: Shinji Flickris