Kako onemogočiti zaščito sistemske integritete na računalniku Mac (in zakaj ne bi smeli)
Mac OS X 10.11 El Capitan varuje sistemske datoteke in procese z novo funkcijo, imenovano zaščita sistemske integritete. SIP je funkcija ravni jedra, ki omejuje, kar lahko "root" račun.
To je odlična varnostna značilnost in skoraj vsi - tudi "močni uporabniki" in razvijalci - naj jo pustijo omogočeno. Če pa res potrebujete spreminjanje sistemskih datotek, ga lahko obidete.
Kaj je zaščita sistemske integritete?
Na Mac OS X in drugih operacijskih sistemih, podobnih Unixu, vključno z Linuxom, obstaja »root« račun, ki ima običajno popoln dostop do celotnega operacijskega sistema. Postati root uporabnik - ali pridobiti korenska dovoljenja - vam omogoča dostop do celotnega operacijskega sistema in zmožnosti spreminjanja in brisanja vseh datotek. Zlonamerna programska oprema, ki pridobi korenska dovoljenja, lahko ta dovoljenja uporabi za poškodovanje in okužbo nizko-ravni datoteke operacijskega sistema.
Vnesite svoje geslo v varnostno pogovorno okno in dali ste dovoljenja koreninam aplikacije. To običajno omogoča, da naredite karkoli za vaš operacijski sistem, čeprav mnogi uporabniki Mac-a tega morda niso spoznali.
Zaščita sistemske integritete - znana tudi kot »brez korenin« - deluje tako, da omeji račun root. Sam jedro operacijskega sistema postavi preverjanje dostopa korenskega uporabnika in mu ne dovoli izvajanja določenih stvari, kot je spreminjanje zaščitenih lokacij ali vnašanje kode v zaščitene sistemske procese. Vse razširitve jedra morajo biti podpisane in ne morete onemogočiti zaščite sistemske integritete v sistemu Mac OS X. Aplikacije s povišanimi dovoljenji korena ne morejo več spreminjati sistemskih datotek.
To boste najverjetneje opazili, če poskušate pisati v enega od naslednjih imenikov:
- Sistem
- / bin
- / usr
- / sbin
OS X to preprosto ne bo dovolil in videli boste sporočilo »Operacija ni dovoljena«. OS X tudi ne bo dovolil, da namestite drugo lokacijo v enega od teh zaščitenih imenikov, tako da tega ni mogoče izogniti.
Celoten seznam zaščitenih lokacij najdete v /System/Library/Sandbox/rootless.conf v vašem Mac računalniku. Vključuje datoteke, kot so aplikacije Mail.app in Chess.app, vključene v Mac OS X, zato jih ne morete odstraniti - niti iz ukazne vrstice kot root uporabnika. To pa pomeni tudi, da zlonamerna programska oprema ne more spremeniti in okužiti teh aplikacij.
Ni naključje, da je možnost »Popravi diskovna dovoljenja« v programu Disk Utility - ki se je dolgo uporabljala za odpravljanje težav z različnimi Mac-ovami - zdaj odstranjena. Zaščita sistemske integritete mora preprečiti, da bi bila ključna dovoljenja za datoteke v vsakem primeru spremenjena. Orodje Disk Utility je preoblikovano in še vedno ima možnost »Prva pomoč« za popravilo napak, vendar ne vsebuje možnosti za popravilo dovoljenj.
Kako onemogočiti zaščito sistemske integritete
Opozorilo: Ne delaj tega, razen če imaš dober razlog za to in točno veš, kaj delaš! Večini uporabnikov te nastavitve varnosti ni treba onemogočiti. Njen namen ni preprečiti zlorabo sistema - namenjen je preprečevanju zlonamerne programske opreme in drugih slabo obnašanih programov, da bi zmešali s sistemom. Toda nekateri pripomočki nizke ravni lahko delujejo le, če imajo neomejen dostop.
Nastavitev za zaščito sistemske integritete ni shranjena v samem sistemu Mac OS X. Namesto tega je shranjen v NVRAM-u na vsakem posameznem Macu. Spremeni se lahko samo iz obnovitvenega okolja.
Če želite zagnati način za obnovitev, znova zaženite vaš Mac in držite ukaz Command + R. Vnesli boste okolje za obnovitev. Kliknite meni »Utilities« in izberite »Terminal«, da odprete okno terminala.
Vnesite naslednji ukaz v terminal in pritisnite Enter, da preverite stanje:
status csrutila
Videli boste, ali je zaščita sistemske integritete omogočena ali ne.
Če želite onemogočiti zaščito sistemske integritete, zaženite ta ukaz:
csrutil onemogoči
Če se odločite, da boste pozneje omogočili SIP, se vrnite v obnovitveno okolje in zaženite ta ukaz:
csrutil omogoči
Znova zaženite računalnik Mac in nova nastavitev zaščite sistemske integritete bo začela veljati. Uporabnik root bo zdaj imel popoln, neomejen dostop do celotnega operacijskega sistema in vsake datoteke.
Če ste pred tem nadgradili svoj Mac na OS X 10.11 El Capitan, ste pred tem že shranili datoteke v teh zaščitenih imenikih, niso bile izbrisane. Premaknili jih boste v imenik / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na vašem računalniku Mac.
Zasluge za sliko: Shinji na Flickr