Ako zakázať ochranu integrity systému na počítači Mac (a prečo by ste nemali)

Obsah:

Ako zakázať ochranu integrity systému na počítači Mac (a prečo by ste nemali)
Ako zakázať ochranu integrity systému na počítači Mac (a prečo by ste nemali)
Anonim
Mac OS X 10.11 El Capitan chráni systémové súbory a procesy novou funkciou s názvom Ochrana integrity systému. SIP je funkcia na úrovni jadra, ktorá obmedzuje to, čo môže robiť "root" účet.
Mac OS X 10.11 El Capitan chráni systémové súbory a procesy novou funkciou s názvom Ochrana integrity systému. SIP je funkcia na úrovni jadra, ktorá obmedzuje to, čo môže robiť "root" účet.

Je to skvelá bezpečnostná funkcia a takmer všetci - dokonca aj "výkonní používatelia" a vývojári - by to mali nechať povolené. Ale ak naozaj potrebujete upraviť systémové súbory, môžete to vynechať.

Čo je ochrana integrity systému?

Na operačnom systéme Mac OS X a iných operačných systémoch podobných operačným systémom UNIX, vrátane Linuxu, existuje "root" účet, ktorý má tradičný plný prístup k celému operačnému systému. Stať sa užívateľom root - alebo získať root oprávnenia - umožňuje prístup k celému operačnému systému a možnosť meniť a mazať akýkoľvek súbor. Škodlivý softvér, ktorý získa koreňové oprávnenia, môže používať tieto oprávnenia na poškodenie a infikovanie súborov operačného systému na nízkej úrovni.

Zadajte svoje heslo do dialógového okna Zabezpečenie a zadali ste oprávnenia používateľa root. To tradične umožňuje, aby robila čokoľvek pre váš operačný systém, hoci mnohí používatelia Mac to pravdepodobne neuvedomili.

Ochrana integrity systému - tiež známa ako "bez koreňa" - funguje obmedzením účtu root. Samotné jadro operačného systému kontroluje prístup používateľa root a neumožní mu robiť určité veci, napríklad modifikovať chránené miesta alebo vniesť kód do chránených systémových procesov. Všetky rozšírenia jadra musia byť podpísané a v systéme Mac OS X nemožno zakázať ochranu systému integrity. Aplikácie so zvýšeným oprávneniami root nemôžu ďalej manipulovať so systémovými súbormi.
Ochrana integrity systému - tiež známa ako "bez koreňa" - funguje obmedzením účtu root. Samotné jadro operačného systému kontroluje prístup používateľa root a neumožní mu robiť určité veci, napríklad modifikovať chránené miesta alebo vniesť kód do chránených systémových procesov. Všetky rozšírenia jadra musia byť podpísané a v systéme Mac OS X nemožno zakázať ochranu systému integrity. Aplikácie so zvýšeným oprávneniami root nemôžu ďalej manipulovať so systémovými súbormi.

S najväčšou pravdepodobnosťou si to všimnete, ak sa pokúsite zapísať do jedného z nasledujúcich adresárov:

  • / System
  • / bin
  • / usr
  • / sbin

OS X to jednoducho nedovolí a zobrazí sa správa "Nie je povolená operácia". OS X tiež vám neumožní pripojiť iné miesto cez jeden z týchto chránených adresárov, takže nie je tam žiadna cesta okolo.

Úplný zoznam chránených lokalít nájdete na lokalite /System/Library/Sandbox/rootless.conf na počítači Mac. Zahŕňa súbory, ako sú aplikácie Mail.app a Chess.app, ktoré sú súčasťou operačného systému Mac OS X, takže ich nemožno odstrániť, a to ani z príkazového riadka ako používateľ root. To tiež znamená, že škodlivý softvér nemôže tieto aplikácie upravovať a infikovať.
Úplný zoznam chránených lokalít nájdete na lokalite /System/Library/Sandbox/rootless.conf na počítači Mac. Zahŕňa súbory, ako sú aplikácie Mail.app a Chess.app, ktoré sú súčasťou operačného systému Mac OS X, takže ich nemožno odstrániť, a to ani z príkazového riadka ako používateľ root. To tiež znamená, že škodlivý softvér nemôže tieto aplikácie upravovať a infikovať.

Nie je to náhodou možnosť "oprávnenia na opravu diskov" v nástroji Disk Utility - dlho používaná na riešenie problémov s rôznymi problémami so systémom Mac. Ochrana integrity systému by mala zabrániť tomu, aby rozhodujúce práva na súbor boli narušené. Program Disk Utility bol prepracovaný a stále má možnosť "Prvá pomoc" na opravu chýb, ale neobsahuje žiadny spôsob ako opraviť povolenia.

Image
Image

Ako zakázať ochranu integrity systému

Výstraha: Nechcem to, ak nemáte na to dobrý dôvod a presne vedieť, čo robíte! Väčšina používateľov nebude musieť toto nastavenie zabezpečenia zakázať. Nie je zamýšľané zabrániť tomu, aby ste prekonali problémy so systémom - jeho cieľom je zabrániť tomu, aby sa škodlivý softvér a iné programy, ktoré sa správali zle správaním, nespájali so systémom. Niektoré pomôcky na nízkej úrovni však môžu fungovať len vtedy, ak majú neobmedzený prístup.

Nastavenie Ochrana integrity systému nie je uložené v samotnom systéme Mac OS X. Namiesto toho je uložený v NVRAM na každom počítači Mac. Môže sa meniť iba z prostredia obnovy.

Ak chcete spustiť režim obnovenia, reštartujte počítač Mac a podržte príkaz Command + R pri jeho spúšťaní. Vstupujete do prostredia obnovy. Kliknite na ponuku "Pomôcky" a vyberte "Terminál" a otvorte okno terminálu.

Do terminálu zadajte nasledujúci príkaz a stlačením klávesu Enter skontrolujte stav:
Do terminálu zadajte nasledujúci príkaz a stlačením klávesu Enter skontrolujte stav:

csrutil status

Uvidíte, či je ochrana integrity systému zapnutá alebo nie.

Ak chcete zakázať ochranu integrity systému, spustite nasledujúci príkaz:
Ak chcete zakázať ochranu integrity systému, spustite nasledujúci príkaz:

csrutil disable

Ak sa rozhodnete, že chcete SIP povoliť neskôr, vráťte sa do prostredia obnovy a spustite nasledujúci príkaz:

csrutil enable
Reštartujte počítač Mac a vaše nové nastavenie zabezpečenia integrity systému sa prejaví. Používateľ root bude teraz mať úplný, neobmedzený prístup k celému operačnému systému a každému súboru.
Reštartujte počítač Mac a vaše nové nastavenie zabezpečenia integrity systému sa prejaví. Používateľ root bude teraz mať úplný, neobmedzený prístup k celému operačnému systému a každému súboru.

Ak ste predtým mali súbory uložené v týchto chránených adresároch skôr, ako ste inovovali počítač Mac OS X 10.11 El Capitan, neboli odstránené. Nájdete ich presunuté do adresára / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na počítači Mac.

Odporúča:

Prečo by ste nemali vypnúť virtuálnu pamäť na počítači Mac

Prečo by ste nemali vypnúť virtuálnu pamäť na počítači Mac

Váš počítač Mac je dodávaný s množstvom aplikácií fyzickej pamäte, ktoré môžu používať. Vaše bežiace programy, otvorené súbory a ďalšie dáta, s ktorými váš Mac aktívne pracuje, sú uložené v tejto fyzickej pamäti. Ale to je zjednodušenie - aplikácie môžu tiež použiť "virtuálnu pamäť", ktorú váš Mac môže komprimovať a dočasne uložiť na disk.

Prečo by ste nemali v systéme Windows zakázať riadenie používateľských účtov (UAC)

Prečo by ste nemali v systéme Windows zakázať riadenie používateľských účtov (UAC)

Kontrola používateľských kont je dôležitá bezpečnostná funkcia v najnovších verziách systému Windows. Aj keď sme vysvetlili, ako v minulosti zakázať UAC, nemali by ste to zakázať - pomáha to chrániť váš počítač.

Prečo by ste sa nemali prihlásiť do vášho systému Linux ako root

Prečo by ste sa nemali prihlásiť do vášho systému Linux ako root

V systéme Linux je Root užívateľ ekvivalentný používateľovi Administrátora v systéme Windows. Avšak zatiaľ čo systém Windows má už dlhú dobu kultúru priemerných používateľov, ktorí sa prihlasujú ako správcovia, nemali by ste sa prihlásiť ako root na Linuxe.

Prečo by ste nemali používať filtrovanie adries MAC na vašom Wi-Fi routeri

Prečo by ste nemali používať filtrovanie adries MAC na vašom Wi-Fi routeri

Filtrovanie adries MAC vám umožňuje definovať zoznam zariadení a povoliť iba tieto zariadenia vo vašej sieti Wi-Fi. To je teória. V praxi je táto ochrana nudná a ľahko sa poruší.

Ako odstrániť vstavané plány napájania systému Windows 7 (a prečo by ste pravdepodobne nemali)

Ako odstrániť vstavané plány napájania systému Windows 7 (a prečo by ste pravdepodobne nemali)

V skutočnosti používate funkcie správy napájania systému Windows 7? Ak áno, kedy ste chceli len odstrániť jeden z vstavaných plánov napájania? Tu je postup, ako to urobiť, a prečo by ste ju pravdepodobne mali nechať sám.