Sådan deaktiveres system integritetsbeskyttelse på en Mac (og hvorfor du ikke bør)
Mac OS X 10.11 El Capitan beskytter systemfiler og processer med en ny funktion ved navn System Integrity Protection. SIP er en kernel-niveau-funktion, der begrænser hvad "root" -kontoen kan gøre.
Dette er en stor sikkerhedsfunktion, og næsten alle - selv "strømbrugere" og udviklere - bør lade den være aktiveret. Men hvis du virkelig behøver at ændre systemfiler, kan du omgå det.
Hvad er beskyttelse af systemintegritet?
På Mac OS X og andre UNIX-lignende operativsystemer, herunder Linux, er der en "root" -konto, der traditionelt har fuld adgang til hele operativsystemet. At blive rodbrugeren - eller få root-tilladelser - giver dig adgang til hele operativsystemet og evnen til at ændre og slette en fil. Malware, der får root tilladelser, kunne bruge disse tilladelser til at beskadige og inficere operativsystemfilerne på lavt niveau.
Indtast dit kodeord i en sikkerhedsdialog, og du har givet programrettighederne. Dette gør det traditionelt at gøre noget for dit operativsystem, selv om mange Mac-brugere muligvis ikke har indset dette.
System Integrity Protection - også kendt som "rootless" - funktioner ved at begrænse root-kontoen. Operativsystemkernen selv kontrollerer rootbrugerens adgang og tillader ikke, at det gør visse ting, såsom ændring af beskyttede steder eller indsprøjt kode til beskyttede systemprocesser. Alle kerneludvidelser skal underskrives, og du kan ikke deaktivere System Integrity Protection fra Mac OS X selv. Applikationer med forhøjede root-tilladelser kan ikke længere manipulere med systemfiler.
Du vil højst sandsynligt bemærke dette, hvis du forsøger at skrive til en af følgende mapper:
- /System
- /beholder
- / usr
- / sbin
OS X vil bare ikke tillade det, og du vil se en "Operation not allowed" besked. OS X tillader heller ikke dig at gemme en anden placering over en af disse beskyttede mapper, så der er ingen vej rundt om dette.
Den fulde liste over beskyttede steder findes på /System/Library/Sandbox/rootless.conf på din Mac. Den indeholder filer som Mail.app og Chess.app apps inkluderet med Mac OS X, så du kan ikke fjerne disse - selv fra kommandolinjen som root-bruger. Dette betyder også, at malware ikke kan ændre og inficere disse applikationer.
Ikke tilfældigt er indstillingen "reparationsdiskettigheder" i Disk Utility - lang brugt til fejlfinding af forskellige Mac-problemer - nu fjernet. System integritetsbeskyttelse bør forhindre vigtige filtilladelser i at blive manipuleret med alligevel. Diskværktøjet er blevet redesignet og har stadig en "Førstehjælp" mulighed for at reparere fejl, men indeholder ingen måde at reparere tilladelser til.
Sådan deaktiveres system integritetsbeskyttelse
Advarsel: Undlad at gøre dette, medmindre du har en meget god grund til at gøre det og ved præcis, hvad du laver! De fleste brugere behøver ikke at deaktivere denne sikkerhedsindstilling. Det har ikke til hensigt at forhindre dig i at messe med systemet - det er meningen at forhindre malware og andre dårligt opførte programmer i at messe med systemet. Men nogle lavniveau værktøjer kan kun fungere, hvis de har ubegrænset adgang.
Indstillingen System Integrity Protection lagres ikke i Mac OS X selv. I stedet lagres den i NVRAM på hver enkelt Mac. Det kan kun ændres fra genoprettelsesmiljøet.
For at starte i recovery-tilstand skal du genstarte din Mac og holde Command + R, da den starter. Du vil komme ind i gendannelsesmiljøet. Klik på menuen "Hjælpeprogrammer" og vælg "Terminal" for at åbne et terminalvindue.
Indtast følgende kommando i terminalen, og tryk på Enter for at kontrollere status:
csrutil status
Du kan se, om system integritetsbeskyttelse er aktiveret eller ej.
For at deaktivere System Integrity Protection skal du køre følgende kommando:
csrutil deaktivere
Hvis du beslutter, at du vil aktivere SIP senere, skal du gå tilbage til gendannelsesmiljøet og køre følgende kommando:
csrutil aktivere
Genstart din Mac, og din nye systemintegritets beskyttelsesindstilling træder i kraft. Rodenbrugeren vil nu få sin fulde uhindrede adgang til hele operativsystemet og alle filer.
Hvis du tidligere havde filer gemt i disse beskyttede mapper, før du opgraderede din Mac til OS X 10.11 El Capitan, er de ikke blevet slettet. Du finder dem flyttet til / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / mappen på din Mac.
Billedkredit: Shinji på Flickr