Пользователи Mac: OS X 10.11 El Capitan уже здесь, и это здорово! Большинство пользователей получат заметное повышение производительности, и появятся некоторые (относительно незначительные) новые функции.
Но какое самое большое изменение Apple произвела на этот раз? Безопасность. OS X теперь настолько заблокирована, что даже пользователи root не могут изменять операционную систему — давайте рассмотрим, что это значит, не так ли?
Защита целостности системы: у Root здесь нет питания
Помните этот старый мультфильм?
Не понимаю? Ну, во многих UNIX-подобных системах, включая OS X, команда sudo означает superuser. Помещение команды sudo перед командой, предполагающей, что ваша учетная запись пользователя является администратором, позволяет вам делать вещи, которые вы не можете сделать иначе.
По сути, если вы суперпользователь, вы можете делать что угодно — если, конечно, вы не управляете El Capitan. В этой версии OS X вы не можете редактировать основные системные файлы, независимо от того, являетесь ли вы пользователем root.
Это происходит из-за защиты целостности системы (SIP) — иногда называемой бесполезной — новой функцией, которая означает, что пользователи и стороннее программное обеспечение, включая вредоносное ПО, не могут изменять основные системные файлы.
Подводя итог, SIP означает, что:
- Базовые системные файлы не могут быть перезаписаны даже пользователями root.
- Внедрение кода в защищенные процессы больше не разрешено системой.
- Только подписанные расширения ядра могут работать — без исключений.
Основная идея здесь заключается в том, что если вы не можете изменить эти основные файлы, ни вредоносные программы, ни хакеры . Но есть некоторые потенциальные недостатки, особенно если вы тот пользователь, который любит взламывать или настраивать вещи.
Системные каталоги не могут быть отредактированы
В El Capitan содержимое определенных папок не может быть изменено пользователем или любой другой программой, которую пользователь может запустить. Какие папки?
- / System
- / бен
- / usr (кроме «/ usr / local»)
- / SBIN
Проверить это просто: зайдите в Терминал и попробуйте создать новый каталог в / System . Не сработает
Это означает, что вы и любые программы, которые вы можете запустить, не могут вносить какие-либо изменения в OS X — даже если вы являетесь пользователем root, и даже если вы вводите свой пароль. Это также означает, что вредоносные программы и хакеры не могут ничего изменить в этих папках .
Любое приложение, которое частично работало, внося изменения в эти папки, не будет работать в El Capitan, без остановки, без какого-либо обновления.
И это изменение имеет обратную силу, то есть если вы когда-либо делали что-то для редактирования OS X, эти изменения будут отменены при обновлении до El Capitan — но вы можете восстановить все файлы и изменения, если хотите, они в / Library / SystemMigration .
Больше не нужно вводить вещи в память
Использовали ли вы когда-либо EasySIMBL, который позволяет настраивать практически все на своем Mac почти всего на своем Mac ? Эта программа может добавить функциональность программам и самой OS X, и выполняет это путем внедрения кода в работающую в данный момент программу. Например: один плагин для EasySIMBL позволил официальному клиенту Mac для Twitter поддерживать встроенные изображения из Instagram, что в отличие от других функций.
Это может быть действительно круто, но оно также использует точную методологию, которую многие распространенные вредоносные программы используют для выполнения всевозможных неприятных действий. В Эль-Капитане это больше невозможно.
Это нарушает такие вещи, как EasySIMBL и популярная система плагинов для фонарей. Добавьте суперспособности в центр суперспособности в центр на El Capitan — но также предотвращает всевозможные теоретически возможные вредоносные программы.
Нет больше неподписанных расширений ядра
Расширения ядра — это части программного обеспечения, которые напрямую взаимодействуют с ядром системы. Большинство пользователей Mac, вероятно, никогда не установят расширение ядра, если им не нужны драйверы для какого-либо стороннего оборудования.
И теперь все расширения ядра, включая драйверы, должны быть подписаны для запуска. Это означает, что если вы используете аппаратное обеспечение с неподписанным драйвером, этот драйвер не будет загружаться в El Capitan — вашему устройству необходимо выпустить подписанный драйвер, иначе вы не сможете использовать свое оборудование.
Отключение SIP / Rootless в El Capitan
Эти изменения, без сомнения, улучшат безопасность — но некоторые люди считают, что потеря свободы не стоит.
Согласны ли вы с этими жалобами или просто полагаетесь на приложения или оборудование, которые не работают с включенным SIP, возможно отключить эту функцию безопасности.
Защита целостности системы не может быть отключена из самой ОС: вам нужно загрузиться в OS X Recovery . Выключите ваш Mac, затем удерживайте CMD + R, пока он запускается.
Как только система загрузит OS X Recovery, загрузите Терминал из строки меню, введите csrutil disable и нажмите Enter . Если позже вы захотите снова включить SIP / без root, повторите этот процесс, но введите csrutil enable в Терминале.
В качестве альтернативы, вы можете просто не устанавливать El Capitan некоторое время — вы можете получить замечательные функции без обновления. любом случае.
Другие различные исправления безопасности
SIP — не единственная новая функция безопасности в El Capitan — только самая заслуживающая внимания. Если хотите, вы можете прочитать длинный список обновлений безопасности для OS X от Apple , но вот несколько основных моментов:
- Много изменений в приложениях для защиты доступа Keychain.
- Улучшены алгоритмы шифрования.
- Изменения в EFI для предотвращения взлома всей системы.
- Улучшенная форма двухфакторной аутентификации двухфакторная аутентификация для пользователей iCloud.
Безопасность или свобода?
Я говорил о том, что новые функции безопасности El Capitan являются окончанием настройки Mac. настройки , и комментарии меня удивили — люди в основном говорили «И что?».
Может быть, больше пользователей Mac согласны с этим: что они предпочли бы иметь функции безопасности, такие как SIP, чем возможность настраивать вещи. Я хочу знать, что вы думаете: есть ли здесь компромисс, и стоит ли это того? Давайте поговорим об этом в комментариях.
Авторы изображения: « Сэндвич », любезно предоставленный XKCD