Homepage » hogyan kell » A rendszer integritásának védelme letiltása egy Mac-en (és miért nem kell)

    A rendszer integritásának védelme letiltása egy Mac-en (és miért nem kell)

    A Mac OS X 10.11 Az El Capitan védi a rendszerfájlokat és folyamatokat a System Integrity Protection nevű új funkcióval. A SIP egy kernel szintű szolgáltatás, amely korlátozza a „root” fiókot.

    Ez egy nagyszerű biztonsági funkció, és szinte mindenkinek - még a „hatalomfelhasználóknak” és a fejlesztőknek is - engedélyezni kell. De ha valóban meg kell változtatnia a rendszerfájlokat, akkor megkerülheti azt.

    Mi az a rendszer integritásának védelme?

    Mac OS X és más UNIX-szerű operációs rendszereken, beleértve a Linuxot, van egy „root” fiók, amely hagyományosan teljes hozzáféréssel rendelkezik a teljes operációs rendszerhez. A root felhasználóvá válás - vagy gyökér jogosultságok megszerzése - hozzáférést biztosít a teljes operációs rendszerhez, és képes módosítani és törölni a fájlokat. A root jogosultságokat megszerző rosszindulatú programok ezeket az engedélyeket károsíthatják és megfertőzhetik az alacsony szintű operációs rendszerfájlokat.

    Írja be a jelszót egy biztonsági párbeszédablakba, és megadta az alkalmazás root jogosultságait. Ez hagyományosan lehetővé teszi, hogy bármit tegyen az operációs rendszeréhez, bár sok Mac-felhasználó nem felismerte ezt.

    A rendszerintegritás-védelem - a gyökérszámla korlátozásával - más néven „gyökeres” funkciók. Az operációs rendszer kernel maga ellenőrzi a root felhasználó hozzáférését, és nem teszi lehetővé bizonyos dolgok elvégzését, például védett helyek módosítását vagy a védett rendszerfolyamatok kódolását. Minden rendszermag-bővítményt alá kell írni, és nem lehet letiltani a Rendszerintegritás-védelmet a Mac OS X-en belül. A megnövelt root jogosultságokkal rendelkező alkalmazások már nem módosíthatják a rendszerfájlokat.

    Ezt valószínűleg észleli, ha az alábbi könyvtárak egyikére próbál írni:

    • /Rendszer
    • /kuka
    • / usr
    • / sbin

    Az OS X csak nem teszi lehetővé, és megjelenik egy „Művelet nem megengedett” üzenet. Az OS X nem engedi meg, hogy egy másik helyet csatlakoztasson az egyik védett könyvtárhoz, így nincs lehetőség erre.

    A védett helyek teljes listája megtalálható a /System/Library/Sandbox/rootless.conf oldalon a Mac-en. Olyan fájlokat tartalmaz, mint a Mac OS X rendszerhez tartozó Mail.app és Chess.app alkalmazások, így ezeket nem lehet eltávolítani - még a parancssorból sem root felhasználóként. Ez azt is jelenti, hogy a rosszindulatú programok nem módosíthatják és megfertőzhetik ezeket az alkalmazásokat.

    Nem véletlen, hogy a Disk Utility „javítási lemezjogosultságai” opciója - amelyet sokáig használtak a különböző Mac-problémák elhárításához - már el lett távolítva. A rendszerintegritás-védelemnek meg kell akadályoznia, hogy a fontos fájljogosultságokat meg lehessen változtatni. A Lemez segédprogramot újraterveztük, és még mindig van egy „Elsősegély” opciója a hibák kijavításához, de nem tartalmaz semmilyen módot az engedélyek javítására.

    A rendszer integritásának védelme letiltása

    Figyelem: Ne csináld ezt, kivéve, ha nagyon jó okod van erre, és pontosan tudod, mit csinálsz! A legtöbb felhasználónak nem kell letiltania ezt a biztonsági beállítást. Nem célja, hogy megakadályozza a rendszerrel való kommunikációt - célja, hogy megakadályozza a rosszindulatú programokat és más rosszul viselkedő programokat a rendszerrel. De néhány alacsony szintű segédprogram csak akkor működik, ha korlátlan hozzáféréssel rendelkezik.

    A Rendszerintegritás védelem beállítás nem tárolódik a Mac OS X rendszerben. Ehelyett minden egyes Mac számítógépen tárolódik az NVRAM-ban. Csak a helyreállítási környezetből módosítható.

    A helyreállítási módba való indításhoz indítsa újra a Mac-et, és tartsa lenyomva a Command + R billentyűt. A helyreállítási környezetbe lép. Kattintson a „Segédprogramok” menüre, és a terminálablak megnyitásához válassza a „Terminál” menüpontot.

    Írja be a következő parancsot a terminálba, és nyomja meg az Entert az állapot ellenőrzéséhez:

    csrutil állapot

    Látni fogja, hogy engedélyezve van-e a Rendszerintegritás-védelem.

    A System Integrity Protection letiltásához futtassa a következő parancsot:

    csrutil letiltja

    Ha úgy dönt, hogy később engedélyezi a SIP-t, térjen vissza a helyreállítási környezethez, és futtassa a következő parancsot:

    csrutil engedélyezi

    Indítsa újra a Mac számítógépet, és az új rendszerintegritás-védelmi beállítás lép hatályba. A root felhasználónak most teljes, korlátlan hozzáférése van a teljes operációs rendszerhez és minden fájlhoz.


    Ha korábban már tárolt fájlokat ezekben a védett könyvtárakban, mielőtt a Mac OS X 10.11 El Capitan-ra frissítené őket, azokat nem törölték. Megtalálja őket a / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / könyvtárban a Mac-en.

    Képhitel: Shinji a Flickr-en