Как отключить защиту целостности системы на Mac (и почему не стоит)

Mac OS X 10.11 El Capitan защищает системные файлы и процессы с помощью новой функции, которая называется Защита целостности системы. SIP – это функция уровня ядра, которая ограничивает возможности учетной записи «root».

Это отличная функция безопасности, и почти все – даже «опытные пользователи» и разработчики – должны оставить ее включенной. Но если вам действительно нужно изменить системные файлы, вы можете обойти это.

Что такое защита целостности системы?

В Mac OS X и других UNIX-подобных операционных системах, включая Linux, существует «корневая» учетная запись, которая традиционно имеет полный доступ ко всей операционной системе. Стать пользователем root или получить права root дает вам доступ ко всей операционной системе и возможность изменять и удалять любые файлы. Вредоносные программы, которые получают разрешения root, могут использовать эти разрешения для повреждения и заражения файлов операционной системы низкого уровня.

Введите свой пароль в диалоговом окне безопасности, и вы получили права root для приложения. Это традиционно позволяет ему что-либо делать с вашей операционной системой, хотя многие пользователи Mac могут этого не осознавать.

Защита целостности системы, также известная как «rootless», функционирует путем ограничения учетной записи root. Ядро операционной системы само проверяет доступ пользователя root и не позволяет ему делать определенные вещи, такие как изменение защищенных расположений или внедрение кода в защищенные системные процессы. Все расширения ядра должны быть подписаны, и вы не можете отключить защиту целостности системы из самой Mac OS X. Приложения с повышенными правами доступа root больше не могут вмешиваться в системные файлы.

Скорее всего, вы заметите это, если попытаетесь написать в один из следующих каталогов:

  • /System
  • /бен
  • /USR
  • /SBIN

OS X просто не разрешит этого, и вы увидите сообщение «Операция не разрешена». OS X также не позволит вам смонтировать другое расположение поверх одного из этих защищенных каталогов, так что обойти это невозможно.

Полный список защищенных мест находится по адресу /System/Library/Sandbox/rootless.conf на вашем Mac. Он включает в себя файлы, такие как приложения Mail.app и Chess.app, включенные в Mac OS X, поэтому вы не можете удалить их – даже из командной строки как пользователь root. Это также означает, что вредоносные программы не могут изменять и заражать эти приложения.

Неслучайно, опция «восстановить права доступа к диску» в Дисковой утилите – давно используемая для устранения различных проблем с Mac – теперь была удалена. В любом случае, защита целостности системы должна предотвращать подделку важных прав доступа к файлам. Дисковая утилита была переработана и в ней по-прежнему есть опция «Первая помощь» для исправления ошибок, но она не включает способ исправления разрешений.

Как отключить защиту целостности системы

Предупреждение . Не делайте этого, если у вас нет для этого веских причин и вы точно не знаете, что делаете! Большинству пользователей не нужно отключать этот параметр безопасности. Он не предназначен для того, чтобы помешать вам взаимодействовать с системой – он предназначен для предотвращения попадания вредоносных программ и других программ с плохим поведением в систему. Но некоторые низкоуровневые утилиты могут функционировать, только если они имеют неограниченный доступ.

Настройка защиты целостности системы не сохраняется в самой Mac OS X. Вместо этого он хранится в NVRAM на каждом отдельном Mac. Его можно изменить только из среды восстановления.

Для загрузки в режиме восстановления перезагрузите ваш Mac и удерживайте Ctrl + R во время загрузки. Вы войдете в среду восстановления. Нажмите меню «Утилиты» и выберите «Терминал», чтобы открыть окно терминала.

Введите следующую команду в терминал и нажмите Enter, чтобы проверить статус:

статус csrutil

Вы увидите, включена ли защита целостности системы или нет.

Чтобы отключить защиту целостности системы, выполните следующую команду:

отключить csrutil

Если вы решите, что хотите включить SIP позже, вернитесь в среду восстановления и выполните следующую команду:

csrutil enable

Перезагрузите Mac, и новые настройки защиты целостности системы вступят в силу. Пользователь root теперь будет иметь полный неограниченный доступ ко всей операционной системе и каждому файлу.

Если вы ранее сохраняли файлы в этих защищенных каталогах до того, как обновили свой Mac до OS X 10.11 El Capitan, они не были удалены. Вы найдете их перемещенными в каталог/Library/SystemMigration/History/Migration- (UUID)/QuarantineRoot/на вашем Mac.

Изображение предоставлено: Синдзи на Flickr

Оцените статью
TutoryBird.Ru
Добавить комментарий