Mac OS X 10.11 El Capitan защищает системные файлы и процессы с помощью новой функции, которая называется Защита целостности системы. SIP — это функция уровня ядра, которая ограничивает возможности учетной записи «root».
Это отличная функция безопасности, и почти все — даже «опытные пользователи» и разработчики — должны оставить ее включенной. Но если вам действительно нужно изменить системные файлы, вы можете обойти это.
Что такое защита целостности системы?
СВЯЗАННЫЙ: Что такое Unix, и почему это важно?
В Mac OS X и других UNIX-подобных операционных системах , включая Linux, есть учетная запись «root», которая традиционно имеет полный доступ ко всей операционной системе. Стать пользователем root или получить права root дает вам доступ ко всей операционной системе и возможность изменять и удалять любые файлы. Вредоносные программы, которые получают разрешения root, могут использовать эти разрешения для повреждения и заражения файлов операционной системы низкого уровня.
Введите свой пароль в диалоговом окне безопасности, и вы дали root-права приложения. Это традиционно позволяет ему что-либо делать с вашей операционной системой, хотя многие пользователи Mac могут этого не осознавать.
Защита целостности системы, также известная как «rootless», функционирует путем ограничения учетной записи root. Ядро операционной системы само проверяет доступ пользователя root и не позволяет ему выполнять определенные действия, такие как изменение защищенных мест или внедрение кода в защищенные системные процессы. Все расширения ядра должны быть подписаны, и вы не можете отключить защиту целостности системы из самой Mac OS X. Приложения с повышенными правами доступа root больше не могут вмешиваться в системные файлы.
Скорее всего, вы заметите это, если попытаетесь написать в один из следующих каталогов:
- / System
- / бен
- / USR
- / SBIN
OS X просто не разрешит этого, и вы увидите сообщение «Операция не разрешена». OS X также не позволит вам смонтировать другое расположение над одним из этих защищенных каталогов, поэтому нет никакого способа обойти это.
Полный список защищенных мест находится по адресу /System/Library/Sandbox/rootless.conf на вашем Mac. Он включает в себя файлы, такие как приложения Mail.app и Chess.app, включенные в Mac OS X, поэтому вы не можете удалить их — даже из командной строки как пользователь root. Это также означает, что вредоносные программы не могут изменять и заражать эти приложения.
Неслучайно, опция « восстановить права доступа к диску » в Дисковой утилите — давно используемая для устранения различных проблем с Mac — теперь была удалена. В любом случае, защита целостности системы должна предотвращать подделку важных прав доступа к файлам. Дисковая утилита была переработана и в ней по-прежнему есть опция «Первая помощь» для исправления ошибок, но она не включает способ исправления разрешений.
Как отключить защиту целостности системы
Предупреждение : не делайте этого, если у вас нет веской причины для этого и точно знаете, что вы делаете! Большинству пользователей не нужно отключать этот параметр безопасности. Оно не предназначено для того, чтобы помешать вам работать с системой, оно предназначено для предотвращения того, чтобы вредоносные программы и другие программы с плохим поведением работали с системой. Но некоторые низкоуровневые утилиты могут функционировать, только если они имеют неограниченный доступ.
СВЯЗАННЫЕ: 8 системных функций Mac, к которым вы можете получить доступ в режиме восстановления
Параметр System Integrity Protection не сохраняется в самой Mac OS X. Вместо этого он хранится в NVRAM на каждом отдельном Mac. Его можно изменить только из среды восстановления.
Для загрузки в режиме восстановления перезагрузите ваш Mac и удерживайте Ctrl + R во время загрузки. Вы войдете в среду восстановления. Нажмите меню «Утилиты» и выберите «Терминал», чтобы открыть окно терминала.
Введите следующую команду в терминал и нажмите Enter, чтобы проверить статус:
статус csrutil
Вы увидите, включена ли защита целостности системы или нет.
Чтобы отключить защиту целостности системы, выполните следующую команду:
отключить csrutil
Если вы решите, что хотите включить SIP позже, вернитесь в среду восстановления и выполните следующую команду:
csrutil enable
Перезагрузите Mac, и новые настройки защиты целостности системы вступят в силу. Пользователь root теперь будет иметь полный неограниченный доступ ко всей операционной системе и каждому файлу.
Если у вас ранее были файлы, хранящиеся в этих защищенных каталогах, до обновления Mac до OS X 10.11 El Capitan, они не были удалены. Вы найдете их перемещенными в каталог / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / на вашем Mac.
Изображение предоставлено: Синдзи на Flickr