Početna » kako da » Kako onemogućiti zaštitu integriteta sustava na Macu (i zašto ne biste trebali)

    Kako onemogućiti zaštitu integriteta sustava na Macu (i zašto ne biste trebali)

    Mac OS X 10.11 El Capitan štiti sistemske datoteke i procese novom značajkom pod nazivom Zaštita sistemskog integriteta. SIP je značajka razine jezgre koja ograničava ono što "root" račun može učiniti.

    To je odlična sigurnosna značajka, a gotovo svi - čak i "moćni korisnici" i programeri - trebali bi je omogućiti. Ali, ako stvarno trebate modificirati sistemske datoteke, možete je zaobići.

    Što je zaštita integriteta sustava?

    Na Mac OS X i drugim operativnim sustavima sličnim UNIX-u, uključujući Linux, postoji “root” račun koji tradicionalno ima puni pristup cijelom operativnom sustavu. Postati korijenski korisnik - ili dobiti korijenske dozvole - daje vam pristup cijelom operativnom sustavu i mogućnost izmjene i brisanja bilo koje datoteke. Zlonamjerni softver koji dobiva dozvole korijena mogao bi koristiti te dozvole da ošteti i zarazi datoteke operacijskog sustava niske razine.

    Upišite svoju zaporku u sigurnosni dijalog i dali ste dozvole korijena aplikacije. To tradicionalno dopušta da sve radi na vašem operativnom sustavu, iako mnogi korisnici Mac-a možda to nisu shvatili.

    Zaštita integriteta sustava - također poznata kao "rootless" - funkcionira ograničavanjem root računa. Sam kernel operativnog sustava stavlja provjere na pristup root korisnika i ne dopušta mu da radi određene stvari, kao što je modificiranje zaštićenih lokacija ili unos koda u zaštićene procese sustava. Sva proširenja kernela moraju biti potpisana i ne možete onemogućiti zaštitu integriteta sustava unutar samog Mac OS X-a. Aplikacije s povišenim root dopuštenjima više ne mogu mijenjati datoteke sustava.

    Najvjerojatnije ćete to primijetiti ako pokušate pisati u jedan od sljedećih direktorija:

    • / sustav
    • / bin
    • / usr
    • / sbin

    OS X to jednostavno neće dopustiti i vidjet ćete poruku "Operacija nije dopuštena". OS X također neće dopustiti da montirate drugo mjesto na jednom od tih zaštićenih direktorija, tako da ne možete zaobići ovo.

    Potpuni popis zaštićenih lokacija nalazi se na /System/Library/Sandbox/rootless.conf na vašem Mac računalu. To uključuje datoteke kao što su Mail.app i Chess.app aplikacije uključene u Mac OS X, tako da ih ne možete ukloniti - čak ni iz komandne linije kao root korisnika. To također znači da zlonamjerni softver ne može mijenjati i zaraziti te aplikacije.

    Nije slučajno da je opcija "popravak dozvola diska" u uslužnom programu Disk Utility - koja se dugo koristi za rješavanje problema s različitim Mac računalima - sada uklonjena. Zaštita integriteta sustava trebala bi spriječiti neovlašteno mijenjanje dopuštenja ključnih datoteka. Disk Utility je redizajniran i još uvijek ima opciju "Prva pomoć" za popravak pogrešaka, ali ne uključuje način za popravak dozvola.

    Kako onemogućiti zaštitu integriteta sustava

    Upozorenje: Nemojte to činiti ako nemate dobar razlog za to i točno znate što radite! Većina korisnika neće morati onemogućiti ovu sigurnosnu postavku. Ne namjerava vas spriječiti da se zabunite sa sustavom - namijenjen je sprečavanju zlonamjernog softvera i drugih loših programa da se petljaju sa sustavom. No neki uslužni programi niske razine mogu funkcionirati samo ako imaju neograničen pristup.

    Postavka zaštite integriteta sustava nije pohranjena u samom Mac OS X-u. Umjesto toga, pohranjuje se u NVRAM-u na svakom pojedinom Macu. Može se mijenjati samo iz okruženja za oporavak.

    Da biste pokrenuli oporavak, ponovno pokrenite Mac i držite Command + R dok se pokreće. Ući ćete u okruženje za oporavak. Kliknite izbornik "Utilities" i odaberite "Terminal" da biste otvorili prozor terminala.

    Upišite sljedeću naredbu u terminal i pritisnite Enter da biste provjerili status:

    status csrutila

    Vidjet ćete je li Zaštita integriteta sustava omogućena ili ne.

    Da biste onemogućili zaštitu integriteta sustava, pokrenite sljedeću naredbu:

    csrutil onemogućiti

    Ako odlučite kasnije omogućiti SIP, vratite se u okruženje za oporavak i pokrenite sljedeću naredbu:

    csrutil omogućiti

    Ponovo pokrenite Mac i vaša nova postavka zaštite integriteta sustava će stupiti na snagu. Korijenski korisnik sada će imati puni, neograničeni pristup cijelom operativnom sustavu i svakoj datoteci.


    Ako ste prethodno imali datoteke pohranjene u tim zaštićenim direktorijima prije nadogradnje računala na OS X 10.11 El Capitan, one nisu izbrisane. Pronaći ćete da su premješteni u / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / direktorij na vašem Mac računalu.

    Zasluge za sliku: Shinji na Flickru