Kotisivu » miten » Järjestelmän eheyden suojauksen poistaminen käytöstä Macissa (ja miksi sinun ei pitäisi)

    Järjestelmän eheyden suojauksen poistaminen käytöstä Macissa (ja miksi sinun ei pitäisi)

    Mac OS X 10.11 El Capitan suojaa järjestelmän tiedostoja ja prosesseja uuden ominaisuuden System Integrity Protection avulla. SIP on ytimen tason ominaisuus, joka rajoittaa mitä “root” -tili voi tehdä.

    Tämä on loistava turvaominaisuus, ja lähes kaikkien - jopa "tehokäyttäjien" ja kehittäjien - pitäisi jättää se käyttöön. Mutta jos sinun on todella muutettava järjestelmätiedostoja, voit ohittaa sen.

    Mikä on System Integrity Protection?

    Mac OS X: ssä ja muissa UNIX-tyyppisissä käyttöjärjestelmissä, mukaan lukien Linux, on olemassa ”root” -tili, jolla on perinteisesti täysi pääsy koko käyttöjärjestelmään. Juuri käyttäjäksi pääseminen - tai pääkäyttäjän oikeuksien saaminen - mahdollistaa pääsyn koko käyttöjärjestelmään ja mahdollisuuden muokata ja poistaa minkä tahansa tiedoston. Haittaohjelmat, jotka saavat root-käyttöoikeudet, voivat käyttää näitä oikeuksia vahingoittaa ja tartuttaa matalan tason käyttöjärjestelmän tiedostoja.

    Kirjoita salasana suojausikkunaan ja olet antanut sovelluksen pääkäyttäjän oikeudet. Tämä mahdollistaa perinteisesti sen, että se voi tehdä mitään käyttöjärjestelmääsi varten, vaikka monet Mac-käyttäjät eivät ehkä ole ymmärtäneet tätä.

    System Integrity Protection - tunnetaan myös nimellä ”rootless” - toimintoja rajoittamalla juuritiliä. Käyttöjärjestelmän ydin itse tarkistaa juuren käyttäjän pääsyn eikä salli sen tehdä tiettyjä asioita, kuten muokata suojattuja sijainteja tai pistää koodia suojatuihin järjestelmäkäytäntöihin. Kaikkien ytimen laajennusten on oltava allekirjoitettuja ja et voi poistaa järjestelmän integroinnin suojausta käytöstä Mac OS X: ssä. Sovellukset, joilla on korotetut pääkäyttöluvat, eivät voi enää muuttaa järjestelmän tiedostoja.

    Olet todennäköisesti huomannut tämän, jos yrität kirjoittaa johonkin seuraavista hakemistoista:

    • / System
    • / bin
    • / usr
    • / sbin

    OS X ei salli sitä, ja näyttöön tulee ilmoitus "Käyttö ei sallittu". OS X ei myöskään salli toisen sijainnin asentamista näiden suojattujen hakemistojen päälle, joten tämä ei ole mahdollista.

    Täydellinen suojattujen paikkojen luettelo löytyy Macissa olevasta /System/Library/Sandbox/rootless.conf. Se sisältää tiedostoja, kuten Mac OS X: n mukana tulleet Mail.app- ja Chess.app-sovellukset, joten et voi poistaa niitä - edes komentoriviltä root-käyttäjänä. Tämä tarkoittaa myös sitä, että haittaohjelmat eivät voi muuttaa ja tartuttaa näitä sovelluksia.

    Ei sattumaa, että Levyn apuohjelman "korjauslevyn käyttöoikeudet" -vaihtoehto - jota käytetään pitkään useiden Mac-ongelmien vianmääritykseen - on nyt poistettu. Järjestelmän eheyden suojauksen tulisi estää tärkeiden tiedostojen käyttöoikeuksien muuttaminen muutenkin. Levytyökalu on muotoiltu uudelleen ja sillä on edelleen "First Aid" -vaihtoehto virheiden korjaamiseksi, mutta siihen ei sisälly mitään keinoja korjata käyttöoikeuksia.

    Järjestelmän eheyden suojauksen poistaminen käytöstä

    Varoitus: Älä tee tätä, ellei sinulla ole erittäin hyvää syytä tehdä niin ja tiedät tarkalleen, mitä teet! Useimmat käyttäjät eivät tarvitse poistaa tätä suojausasetusta käytöstä. Sen tarkoituksena ei ole estää sinua sekoittamasta järjestelmään - sen tarkoituksena on estää haittaohjelmia ja muita huonosti käyttäytyneitä ohjelmia sotkuttamasta järjestelmään. Jotkin matalan tason apuohjelmat voivat kuitenkin toimia vain, jos niillä on rajoittamaton pääsy.

    System Integrity Protection -asetusta ei tallenneta Mac OS X: ään itse. Sen sijaan se tallennetaan NVRAMiin jokaisessa yksittäisessä Macissa. Sitä voidaan muokata vain palautusympäristöstä.

    Jos haluat käynnistää palautustilan, käynnistä Mac uudelleen ja pidä Command + R -painiketta käynnissä. Tulet palautusympäristöön. Napsauta "Apuohjelmat" -valikkoa ja valitse "Terminaali" avataksesi pääteikkunan.

    Kirjoita seuraava komento päätelaitteeseen ja paina Enter tarkistaaksesi tilan:

    csrutil-tila

    Näet, onko System Integrity Protection käytössä vai ei.

    Voit poistaa järjestelmän integroinnin suojauksen käytöstä suorittamalla seuraavan komennon:

    csrutil käytöstä

    Jos päätät, että haluat ottaa SIP: n käyttöön myöhemmin, palaa palautusympäristöön ja suorita seuraava komento:

    csrutil käyttöön

    Käynnistä Mac uudelleen ja järjestelmäsi Integrity Protectionin uusi asetus tulee voimaan. Juuri käyttäjällä on nyt täysi, rajoittamaton pääsy koko käyttöjärjestelmään ja jokaiseen tiedostoon.


    Jos sinulla on aiemmin tallennettu tiedostoja näihin suojattuihin hakemistoihin ennen Macin päivittämistä OS X 10.11 El Capitaniin, niitä ei ole poistettu. Löydät ne siirretyistä Mac-kirjastoon / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / hakemistoon.

    Kuvaluotto: Shinji Flickrissä