Sådan deaktiveres systemintegritetsbeskyttelse på en Mac (og hvorfor du ikke bør)

Mac OS X 10.11 El Capitan beskytter systemfiler og processer med en ny funktion ved navn System Integrity Protection. SIP er en kerne-niveau-funktion, der begrænser, hvad "root" -kontoen kan gøre.

Dette er en fantastisk sikkerhedsfunktion, og næsten alle - selv “power-brugere” og udviklere - skal lade den være aktiveret. Men hvis du virkelig har brug for at ændre systemfiler, kan du omgå det.

Hvad er beskyttelse af systemintegritet?

RELATERET: Hvad er Unix, og hvorfor betyder det noget?

På Mac OS X og andre UNIX-lignende operativsystemer, inklusive Linux, er der en "root" -konto, der traditionelt har fuld adgang til hele operativsystemet. At blive rodbruger - eller få rodtilladelser - giver dig adgang til hele operativsystemet og muligheden for at ændre og slette enhver fil. Malware, der får rodtilladelser, kan bruge disse tilladelser til at beskadige og inficere operativsystemfilerne på lavt niveau.

Indtast din adgangskode i en sikkerhedsdialog, og du har givet programmets rodtilladelser. Dette tillader det traditionelt at gøre noget ved dit operativsystem, selvom mange Mac-brugere muligvis ikke har indset dette.

Systemintegritetsbeskyttelse - også kendt som “rodløs” - fungerer ved at begrænse rodkontoen. Operativsystemets kerne selv kontrollerer rodbrugerens adgang og tillader ikke den at gøre visse ting, såsom at ændre beskyttede placeringer eller indsprøjte kode i beskyttede systemprocesser. Alle kerneudvidelser skal underskrives, og du kan ikke deaktivere systemintegritetsbeskyttelse inden for selve Mac OS X. Applikationer med forhøjede rodtilladelser kan ikke længere manipulere med systemfiler.

Du vil sandsynligvis bemærke dette, hvis du forsøger at skrive til et af følgende biblioteker:

  • /System
  • /beholder
  • / usr
  • / sbin

OS X tillader det bare ikke, og du får vist en meddelelse om "Drift ikke tilladt". OS X tillader dig heller ikke at montere en anden placering over et af disse beskyttede mapper, så der er ingen vej rundt dette.

Den fulde liste over beskyttede placeringer findes på /System/Library/Sandbox/rootless.conf på din Mac. Det inkluderer filer som Mail.app- og Chess.app-apps, der følger med Mac OS X, så du kan ikke fjerne disse - selv fra kommandolinjen som rodbruger. Dette betyder også, at malware dog ikke kan ændre og inficere disse applikationer.

Ikke tilfældigt er indstillingen "reparationsdisktilladelser" i Diskværktøj - længe brugt til fejlfinding af forskellige Mac-problemer - nu fjernet. Systemintegritetsbeskyttelse skal alligevel forhindre vigtige filtilladelser i at blive manipuleret. Diskværktøjet er blevet redesignet og har stadig en “First Aid” mulighed for at reparere fejl, men inkluderer ingen måde at reparere tilladelser på.

Sådan deaktiveres beskyttelse af systemintegritet

Advarsel : Gør ikke dette, medmindre du har en meget god grund til at gøre det og ved præcis, hvad du laver! De fleste brugere behøver ikke at deaktivere denne sikkerhedsindstilling. Det er ikke beregnet til at forhindre dig i at rode med systemet - det er beregnet til at forhindre malware og andre dårligt opførte programmer i at rode med systemet. Men nogle hjælpeprogrammer på lavt niveau fungerer muligvis kun, hvis de har ubegrænset adgang.

RELATERET: 8 Mac-systemfunktioner, du kan få adgang til i gendannelsestilstand

Indstillingen for systemintegritetsbeskyttelse er ikke gemt i selve Mac OS X. I stedet gemmes det i NVRAM på hver enkelt Mac. Det kan kun ændres fra gendannelsesmiljøet.

For at starte i gendannelsestilstand skal du genstarte din Mac og holde Command + R, når den starter. Du kommer ind i gendannelsesmiljøet. Klik på menuen "Hjælpeprogrammer" og vælg "Terminal" for at åbne et terminalvindue.

Skriv følgende kommando i terminalen, og tryk på Enter for at kontrollere status:

csrutil status

Du vil se, om systemintegritetsbeskyttelse er aktiveret eller ej.

For at deaktivere systemintegritetsbeskyttelse skal du køre følgende kommando:

csrutil deaktivere

Hvis du beslutter dig for at aktivere SIP senere, skal du vende tilbage til gendannelsesmiljøet og køre følgende kommando:

csrutil aktivere

Genstart din Mac, og din nye indstilling for systemintegritetsbeskyttelse træder i kraft. Rodbrugeren har nu sin fulde, ubegrænsede adgang til hele operativsystemet og alle filer.

Hvis du tidligere havde gemt filer i disse beskyttede mapper, før du opgraderede din Mac til OS X 10.11 El Capitan, er de ikke blevet slettet. Du finder dem flyttet til / Bibliotek / SystemMigration / Historie / Migration- (UUID) / QuarantineRoot / biblioteket på din Mac.

Billedkredit: Shinji på Flickr