כיצד להשבית את מערכת שלמות הגנה על MAC (ו למה אתה לא צריך)
Mac OS X 10.11 אל קפיטן מגן על קובצי מערכת ותהליכים באמצעות תכונה חדשה בשם 'הגנת השלמות של המערכת'. SIP הוא תכונה ברמת ליבה המגביל את מה "שורש" החשבון יכול לעשות.
זוהי תכונה אבטחה מעולה, וכמעט כולם - אפילו "משתמשים כוח" ומפתחים - צריך להשאיר את זה מופעל. אבל, אם אתה באמת צריך לשנות את קבצי המערכת, אתה יכול לעקוף את זה.
מהי הגנת מערכת שלמות?
ב- Mac OS X ובמערכות הפעלה אחרות של UNIX, כולל לינוקס, יש חשבון "שורש" שיש לו גישה מלאה למערכת ההפעלה כולה. להפוך למשתמש הבסיס - או השגת הרשאות שורש - נותן לך גישה למערכת ההפעלה כולה ואת היכולת לשנות ולמחוק כל קובץ. תוכנה זדונית שמקבלת הרשאות בסיס יכולה להשתמש בהרשאות אלה כדי להזיק ולהדביק את קבצי מערכת ההפעלה ברמה נמוכה.
הקלד את הסיסמה שלך בתיבת דו-שיח של אבטחה ונתת את הרשאות הבסיס של היישום. זה באופן מסורתי מאפשר לה לעשות משהו למערכת ההפעלה שלך, אם כי משתמשי Mac רבים אולי לא הבנתי את זה.
מערכת שלמות הגנה - הידוע גם בשם "rootless" - פונקציות על ידי הגבלת חשבון השורש. הקרנל של מערכת ההפעלה עצמה מעמיד בדיקות על גישת המשתמש של השורש ולא יאפשר לו לעשות דברים מסוימים, כגון שינוי מיקומים מוגנים או הזרקת קוד לתהליכי מערכת מוגנים. יש לחתום על כל הרחבות הקרנל, ולא ניתן להשבית את System Integrity Protection מתוך Mac OS X עצמו. יישומים עם הרשאות שורש גבוהות אינם יכולים עוד להתעסק עם קובצי מערכת.
סביר להניח שתבחין בכך אם תנסה לכתוב לאחת מהספריות הבאות:
- /מערכת
- / bin
- / usr
- / sbin
מערכת ההפעלה X פשוט לא תאפשר זאת, ותראה הודעה "מבצע לא מורשה". OS X גם לא יאפשר לך לעלות מיקום אחר על אחד ספריות אלה מוגן, ולכן אין דרך לעקוף את זה.
הרשימה המלאה של מיקומים מוגנים נמצאת בכתובת / System /Library /Sandbox/rootless.conf ב- Mac. הוא כולל קבצים כמו יישומי Mail.app ו- Chess.app הכלולים ב- Mac OS X, כך שאינך יכול להסיר אותם - אפילו משורת הפקודה כמשתמש הבסיס. זה גם אומר כי תוכנות זדוניות לא יכול לשנות להדביק יישומים אלה, עם זאת.
לא במקרה, "הרשאות דיסק תיקון" בדיסק השירות - בשימוש ארוך לפתרון בעיות MAC שונים - יש עכשיו הוסר. מערכת שלמות הגנה צריך למנוע הרשאות קובץ חיוני מלהיות טמפרד עם, בכל מקרה. תוכנית השירות לדיסק עוצבה מחדש ועדיין יש לה אפשרות "עזרה ראשונה" לתיקון שגיאות, אך אינה כוללת כל אפשרות לתקן הרשאות.
כיצד להשבית מערכת שלמות
אזהרה: אל תעשה את זה אלא אם כן יש לך סיבה טובה מאוד לעשות זאת ולדעת בדיוק מה אתה עושה! רוב המשתמשים לא יצטרכו להשבית את הגדרת האבטחה הזו. זה לא נועד למנוע ממך להתעסק עם המערכת - זה נועד למנוע תוכנות זדוניות ותוכניות אחרות רע התנהגויות להתעסק עם המערכת. אבל כמה ברמה נמוכה שירות יכול רק לתפקד אם יש להם גישה חופשית.
ההגדרה 'שלמות המערכת' אינה מאוחסנת ב- Mac OS X עצמו. במקום זאת, הוא מאוחסן ב NVRAM על כל MAC בודדים. זה יכול להיות רק השתנה מסביבת ההתאוששות.
כדי לאתחל את מצב השחזור, הפעל מחדש את Mac והחזק את Command + R בעת אתחולו. תוכל להזין את סביבת השחזור. לחץ על התפריט "Utilities" ובחר "Terminal" כדי לפתוח חלון מסוף.
הקלד את הפקודה הבאה במסוף והקש Enter כדי לבדוק את הסטטוס:
מעמד csrutil
תראה אם 'הגנת יושר המערכת' מופעלת או לא.
כדי להשבית את 'שלמות המערכת', הפעל את הפקודה הבאה:
csrutil להשבית
אם תחליט שברצונך להפעיל את SIP במועד מאוחר יותר, חזור לסביבת השחזור והפעל את הפקודה הבאה:
csrutil לאפשר
הפעל מחדש את ה- Mac והגדרת ה- New Integrity Protection תיכנס לתוקף. למשתמש הבסיס תהיה כעת גישה מלאה ובלתי מוגבלת לכל מערכת ההפעלה ולכל קובץ.
אם בעבר היו קבצים המאוחסנים בספריות אלה מוגנים לפני שדרוג MAC ל- OS X 10.11 אל Capitan, הם לא נמחקו. תמצא אותם מועברים לספרייה / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / ב- Mac.
אשראי תמונה: שינג 'י על פליקר