Kako onemogućiti zaštitu integriteta sustava na Macu (i zašto ne biste trebali)
Mac OS X 10.11 El Capitan štiti sistemske datoteke i procese novom značajkom pod nazivom Zaštita sistemskog integriteta. SIP je značajka razine jezgre koja ograničava ono što "root" račun može učiniti.
To je odlična sigurnosna značajka, a gotovo svi - čak i "moćni korisnici" i programeri - trebali bi je omogućiti. Ali, ako stvarno trebate modificirati sistemske datoteke, možete je zaobići.
Što je zaštita integriteta sustava?
Na Mac OS X i drugim operativnim sustavima sličnim UNIX-u, uključujući Linux, postoji “root” račun koji tradicionalno ima puni pristup cijelom operativnom sustavu. Postati korijenski korisnik - ili dobiti korijenske dozvole - daje vam pristup cijelom operativnom sustavu i mogućnost izmjene i brisanja bilo koje datoteke. Zlonamjerni softver koji dobiva dozvole korijena mogao bi koristiti te dozvole da ošteti i zarazi datoteke operacijskog sustava niske razine.
Upišite svoju zaporku u sigurnosni dijalog i dali ste dozvole korijena aplikacije. To tradicionalno dopušta da sve radi na vašem operativnom sustavu, iako mnogi korisnici Mac-a možda to nisu shvatili.
Zaštita integriteta sustava - također poznata kao "rootless" - funkcionira ograničavanjem root računa. Sam kernel operativnog sustava stavlja provjere na pristup root korisnika i ne dopušta mu da radi određene stvari, kao što je modificiranje zaštićenih lokacija ili unos koda u zaštićene procese sustava. Sva proširenja kernela moraju biti potpisana i ne možete onemogućiti zaštitu integriteta sustava unutar samog Mac OS X-a. Aplikacije s povišenim root dopuštenjima više ne mogu mijenjati datoteke sustava.
Najvjerojatnije ćete to primijetiti ako pokušate pisati u jedan od sljedećih direktorija:
- / sustav
- / bin
- / usr
- / sbin
OS X to jednostavno neće dopustiti i vidjet ćete poruku "Operacija nije dopuštena". OS X također neće dopustiti da montirate drugo mjesto na jednom od tih zaštićenih direktorija, tako da ne možete zaobići ovo.
Potpuni popis zaštićenih lokacija nalazi se na /System/Library/Sandbox/rootless.conf na vašem Mac računalu. To uključuje datoteke kao što su Mail.app i Chess.app aplikacije uključene u Mac OS X, tako da ih ne možete ukloniti - čak ni iz komandne linije kao root korisnika. To također znači da zlonamjerni softver ne može mijenjati i zaraziti te aplikacije.
Nije slučajno da je opcija "popravak dozvola diska" u uslužnom programu Disk Utility - koja se dugo koristi za rješavanje problema s različitim Mac računalima - sada uklonjena. Zaštita integriteta sustava trebala bi spriječiti neovlašteno mijenjanje dopuštenja ključnih datoteka. Disk Utility je redizajniran i još uvijek ima opciju "Prva pomoć" za popravak pogrešaka, ali ne uključuje način za popravak dozvola.
Kako onemogućiti zaštitu integriteta sustava
Upozorenje: Nemojte to činiti ako nemate dobar razlog za to i točno znate što radite! Većina korisnika neće morati onemogućiti ovu sigurnosnu postavku. Ne namjerava vas spriječiti da se zabunite sa sustavom - namijenjen je sprečavanju zlonamjernog softvera i drugih loših programa da se petljaju sa sustavom. No neki uslužni programi niske razine mogu funkcionirati samo ako imaju neograničen pristup.
Postavka zaštite integriteta sustava nije pohranjena u samom Mac OS X-u. Umjesto toga, pohranjuje se u NVRAM-u na svakom pojedinom Macu. Može se mijenjati samo iz okruženja za oporavak.
Da biste pokrenuli oporavak, ponovno pokrenite Mac i držite Command + R dok se pokreće. Ući ćete u okruženje za oporavak. Kliknite izbornik "Utilities" i odaberite "Terminal" da biste otvorili prozor terminala.
Upišite sljedeću naredbu u terminal i pritisnite Enter da biste provjerili status:
status csrutila
Vidjet ćete je li Zaštita integriteta sustava omogućena ili ne.
Da biste onemogućili zaštitu integriteta sustava, pokrenite sljedeću naredbu:
csrutil onemogućiti
Ako odlučite kasnije omogućiti SIP, vratite se u okruženje za oporavak i pokrenite sljedeću naredbu:
csrutil omogućiti
Ponovo pokrenite Mac i vaša nova postavka zaštite integriteta sustava će stupiti na snagu. Korijenski korisnik sada će imati puni, neograničeni pristup cijelom operativnom sustavu i svakoj datoteci.
Ako ste prethodno imali datoteke pohranjene u tim zaštićenim direktorijima prije nadogradnje računala na OS X 10.11 El Capitan, one nisu izbrisane. Pronaći ćete da su premješteni u / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / direktorij na vašem Mac računalu.
Zasluge za sliku: Shinji na Flickru