Slik deaktiverer du system integritetsbeskyttelse på en Mac (og hvorfor du ikke burde)
Mac OS X 10.11 El Capitan beskytter systemfiler og prosesser med en ny funksjon som heter System Integrity Protection. SIP er en kjernenivåfunksjon som begrenser hva "root" -kontoen kan gjøre.
Dette er en god sikkerhetsfunksjon, og nesten alle - selv "strømbrukere" og utviklere - bør la den være aktivert. Men hvis du virkelig trenger å endre systemfiler, kan du omgå det.
Hva er System Integrity Protection?
På Mac OS X og andre UNIX-lignende operativsystemer, inkludert Linux, er det en "root" -konto som tradisjonelt har full tilgang til hele operativsystemet. Bli root-brukeren - eller få root-tillatelser - gir deg tilgang til hele operativsystemet og muligheten til å endre og slette en fil. Malware som får root-tillatelser, kan bruke disse tillatelsene til å skade og infisere operativsystemfiler på lavt nivå.
Skriv inn passordet ditt i en sikkerhetsdialog, og du har gitt programrettens tillatelser. Dette lar deg tradisjonelt gjøre alt til operativsystemet ditt, selv om mange Mac-brukere kanskje ikke har innsett dette.
System Integrity Protection - også kjent som "rootless" - funksjoner ved å begrense rotkontoen. Kjernen i operativsystemet legger kontroller på rotenbrukerens tilgang og vil ikke tillate det å gjøre visse ting, for eksempel å endre beskyttede steder eller injisere kode i beskyttede systemprosesser. Alle kjerneutvidelser må signeres, og du kan ikke deaktivere System Integrity Protection fra Mac OS X selv. Programmer med forhøyede rotettillatelser kan ikke lenger manipulere med systemfiler.
Du er mest sannsynlig å legge merke til dette hvis du prøver å skrive til en av følgende kataloger:
- /System
- / bin
- / usr
- / sbin
OS X vil bare ikke tillate det, og du får se en melding som ikke er godkjent. OS X vil heller ikke tillate deg å montere et annet sted over en av disse beskyttede katalogene, så det er ingen vei rundt dette.
Den fullstendige listen over beskyttede steder er funnet på /System/Library/Sandbox/rootless.conf på din Mac. Den inneholder filer som Mail.app og Chess.app-appene som følger med Mac OS X, slik at du ikke kan fjerne disse - selv fra kommandolinjen som roten bruker. Dette betyr også at skadelig programvare ikke kan modifisere og infisere disse programmene.
Ikke tilfeldigvis er alternativet "Reparer diskrettigheter" i Diskverktøy - lenge brukt til feilsøking av forskjellige Mac-problemer - nå fjernet. System integritetsbeskyttelse bør forhindre viktige filtillatelser fra å bli manipulert med, uansett. Diskverktøyet har blitt omformet og har fortsatt et "Førstehjelp" -alternativ for å reparere feil, men inneholder ingen måte å reparere tillatelser.
Slik deaktiverer du system integritetsbeskyttelse
Advarsel: Ikke gjør dette med mindre du har en veldig god grunn til å gjøre det og vet nøyaktig hva du gjør! De fleste brukere trenger ikke å deaktivere denne sikkerhetsinnstillingen. Det er ikke ment å hindre deg i å snakke med systemet - det er ment å forhindre at skadelig programvare og andre dårlig oppførte programmer blir ødelagt med systemet. Men enkelte verktøy på lavt nivå kan bare fungere hvis de har ubegrenset tilgang.
Innstillingen System Integrity Protection lagres ikke i Mac OS X selv. I stedet lagres den i NVRAM på hver enkelt Mac. Det kan bare endres fra gjenopprettingsmiljøet.
For å starte opp i gjenopprettingsmodus, start Macen på nytt og hold Command + R når den starter. Du kommer inn i gjenopprettingsmiljøet. Klikk på "Verktøy" -menyen og velg "Terminal" for å åpne et terminalvindu.
Skriv inn følgende kommando i terminalen og trykk Enter for å sjekke statusen:
csrutil status
Du vil se om System Integrity Protection er aktivert eller ikke.
For å deaktivere System Integrity Protection, kjør følgende kommando:
csrutil deaktivere
Hvis du bestemmer deg for å aktivere SIP senere, går du tilbake til gjenopprettingsmiljøet og kjører følgende kommando:
csrutil aktivere
Start Macen på nytt og den nye systemintegritets beskyttelsesinnstillingen trer i kraft. Rotenbrukeren har nå full, uhindret tilgang til hele operativsystemet og alle filer.
Hvis du tidligere hadde filer lagret i disse beskyttede katalogene før du oppgraderte Mac til OS X 10.11 El Capitan, har de ikke blitt slettet. Du finner dem flyttet til / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / katalog på din Mac.
Bilde Kreditt: Shinji på Flickr