Mājas lapa » » Kā atslēgt sistēmas integritātes aizsardzību Mac datorā (un kāpēc jums nevajadzētu)

    Kā atslēgt sistēmas integritātes aizsardzību Mac datorā (un kāpēc jums nevajadzētu)

    Mac OS X 10.11 El Capitan aizsargā sistēmas failus un procesus ar jaunu funkciju, kas nosaukta par sistēmas integritātes aizsardzību. SIP ir kodola līmeņa funkcija, kas ierobežo “root” konta darbību.

    Tas ir lielisks drošības līdzeklis, un gandrīz visiem - pat „jaudas lietotājiem” un izstrādātājiem - jāatstāj tas iespējots. Bet, ja jums tiešām ir nepieciešams mainīt sistēmas failus, varat to apiet.

    Kas ir sistēmas integritātes aizsardzība?

    Mac OS X un citās UNIX operētājsistēmās, ieskaitot Linux, ir “saknes” konts, kam tradicionāli ir pilnīga piekļuve visai operētājsistēmai. Kļūstot par root lietotāju vai iegūstot root atļaujas, varat piekļūt visai operētājsistēmai un spējai modificēt un dzēst jebkuru failu. Malware, kas iegūst root atļaujas, var izmantot šīs atļaujas, lai sabojātu un inficētu zemā līmeņa operētājsistēmas failus.

    Ierakstiet savu paroli drošības dialoglodziņā un esat piešķīris lietojumprogrammas atļaujas. Tas tradicionāli ļauj tai kaut ko darīt jūsu operētājsistēmā, lai gan daudzi Mac lietotāji to nav sapratuši.

    Sistēmas integritātes aizsardzība - pazīstama arī kā “saknes” funkcijas, ierobežojot saknes kontu. Operētājsistēmas kodols pats kontrolē saknes lietotāja piekļuvi un neļaus tai veikt noteiktas lietas, piemēram, pārveidot aizsargātās vietas vai ievadīt kodu aizsargātos sistēmas procesos. Visiem kodola paplašinājumiem jābūt parakstītiem, un jūs nevarat atspējot sistēmas integritātes aizsardzību no paša Mac OS X. Lietojumprogrammas ar paaugstinātām sakņu atļaujām vairs nevar manipulēt ar sistēmas failiem.

    Jūs, visticamāk, to pamanīsiet, ja mēģināt rakstīt kādā no šiem katalogiem:

    • / Sistēma
    • / bin
    • / usr
    • / sbin

    OS X vienkārši to neļaus, un jūs redzēsiet ziņojumu “Darbība nav atļauta”. OS X arī neļaus jums uzstādīt citu atrašanās vietu vienā no šiem aizsargātajiem katalogiem, tāpēc nav nekāda veida.

    Pilns aizsargāto vietu saraksts ir atrodams jūsu Mac datorā /System/Library/Sandbox/rootless.conf. Tas ietver failus, piemēram, lietojumprogrammas Mail.app un Chess.app lietojumprogrammas, kas iekļautas Mac OS X, tāpēc jūs nevarat tos noņemt - pat no komandrindas kā root lietotāja. Tas nozīmē arī to, ka ļaunprātīgas programmatūras nevar mainīt un inficēt šīs programmas.

    Nejauši, tagad ir noņemta opcija disku utilītprogrammā “Remonta disku atļaujas”, ko ilgi izmantoja dažādu Mac problēmu novēršanai. Sistēmas integritātes aizsardzībai ir jānovērš būtiskas failu atļaujas, lai tās nekādā gadījumā nemainītu. Diska utilītprogramma ir pārveidota un tajā joprojām ir opcija "Pirmās palīdzības", lai labotu kļūdas, bet tajā nav iekļauta nekāda veida atļauja labot atļaujas.

    Kā atspējot sistēmas integritātes aizsardzību

    Brīdinājums: Nedariet to, ja vien jums ir ļoti labs iemesls to darīt un precīzi zināt, ko darāt! Vairumam lietotāju nebūs jāizslēdz šis drošības iestatījums. Tas nav paredzēts, lai neļautu jums sazināties ar sistēmu - tas ir paredzēts, lai novērstu ļaunprātīgas programmatūras un citu slikti izturētu programmu ziņošanu ar sistēmu. Taču daži zema līmeņa komunālie pakalpojumi var darboties tikai tad, ja tiem ir neierobežota piekļuve.

    Sistēmas integritātes aizsardzības iestatījums nav saglabāts Mac OS X sistēmā. Tā vietā tas tiek saglabāts NVRAM katrā atsevišķā Mac datorā. To var mainīt tikai no reģenerācijas vides.

    Lai ielādētu atkopšanas režīmu, restartējiet Mac un turiet Command + R, kad tas sāk darboties. Jūs nonāksit atgūšanas vidē. Noklikšķiniet uz izvēlnes “Utilities” un izvēlieties “Terminal”, lai atvērtu termināļa logu.

    Ievadiet terminālī šādu komandu un nospiediet Enter, lai pārbaudītu statusu:

    csrutila statuss

    Jūs redzēsiet, vai sistēmas integritātes aizsardzība ir iespējota.

    Lai atspējotu sistēmas integritātes aizsardzību, palaidiet šādu komandu:

    csrutil atspējot

    Ja nolemjat vēlāk iespējot SIP, atgriezieties atkopšanas vidē un palaidiet šādu komandu:

    iespējojiet

    Restartējiet savu Mac un jaunais sistēmas integritātes aizsardzības iestatījums stāsies spēkā. Saknes lietotājam tagad būs pilnīga, neierobežota piekļuve visai operētājsistēmai un visiem failiem.


    Ja iepriekš esat saglabājis failus šajos aizsargātajos katalogos, pirms jūs atjauninājāt savu Mac OS X 10.11 El Capitan, tie nav izdzēsti. Jūs atradīsiet tos pārvietot uz / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / direktoriju savā Mac datorā.

    Attēla kredīts: Shinji par Flickr