Domovská » jak » Jak zakázat ochranu systému integrity na počítači Mac (a proč byste neměli)

    Jak zakázat ochranu systému integrity na počítači Mac (a proč byste neměli)

    Mac OS X 10.11 El Capitan chrání systémové soubory a procesy pomocí nové funkce s názvem Ochrana integrity systému. SIP je vlastnost na úrovni jádra, která omezuje, co může účet "root" dělat.

    Jedná se o skvělou bezpečnostní funkci a téměř všichni - dokonce i "výkonní uživatelé" a vývojáři - by to měli nechat. Pokud však opravdu potřebujete upravit systémové soubory, můžete je obejít.

    Co je ochrana integrity systému??

    V systému Mac OS X a dalších operačních systémech typu UNIX, včetně systému Linux, existuje účet "root", který má tradičně plný přístup k celému operačnímu systému. Stažení uživatele root - nebo získání oprávnění root - umožňuje přístup k celému operačnímu systému a možnost upravit a odstranit libovolný soubor. Malware, který získá kořenová oprávnění, by mohl tyto oprávnění používat k poškození a infikování souborů na nižší úrovni operačního systému.

    Zadejte své heslo do dialogového okna zabezpečení a přidělili jste oprávnění root. To tradičně dovoluje dělat cokoli pro váš operační systém, ačkoli mnoho uživatelů Mac to možná neuskutečnilo.

    Ochrana integrity systému - také známá jako "bez kořenů" - funguje tím, že omezuje účet root. Jádro operačního systému samo o sobě kontroluje přístup uživatele root a nedovolí mu dělat určité věci, jako například modifikovat chráněná místa nebo vstoupit do chráněných systémových procesů. Všechna rozšíření jádra musí být podepsána a v systému Mac OS X nemůžete zakázat ochranu systému integrity. Aplikace se zvýšenou oprávněním kořenového adresáře již nemohou manipulovat se systémovými soubory.

    Nejpravděpodobněji si to všimnete, pokud se pokusíte zapsat do jednoho z následujících adresářů:

    • /Systém
    • /zásobník
    • / usr
    • / sbin

    OS X to prostě nedovolí a zobrazí se zpráva "Operace není povolena". OS X také vám neumožní připojit jiné umístění přes některý z těchto chráněných adresářů, takže kolem toho není nic.

    Úplný seznam chráněných míst najdete na webu /System/Library/Sandbox/rootless.conf v počítači Mac. Zahrnuje soubory, jako jsou aplikace Mail.app a Chess.app, které jsou součástí systému Mac OS X, takže je nelze odstranit, a to ani z příkazového řádku jako uživatel root. To také znamená, že malware nemůže tyto aplikace modifikovat a infikovat.

    Není náhodou, že možnost "oprávnění k opravě disků" v nástroji Disk Utility - dlouho používaná pro řešení potíží s různými problémy se systémem Mac - byla nyní odstraněna. Ochrana integrity systému by měla zabraňovat tomu, aby rozhodující práva k souborům byla poškozena. Disk Utility byl přepracován a stále má možnost "První pomoc" k opravě chyb, ale neobsahuje žádný způsob, jak opravit oprávnění.

    Jak zakázat ochranu integrity systému

    Varování: Nedělejte to, pokud nemáte na to dobrý důvod a přesně vědět, co děláte! Většina uživatelů nebude muset toto nastavení zabezpečení zakázat. Nemělo by to zabránit tomu, aby jste zablokovali systém - jejím účelem je zabránit tomu, aby se malware a jiné špatně chované programy nepoškodily se systémem. Některé nástroje nízké úrovně však mohou fungovat pouze v případě, že mají neomezený přístup.

    Nastavení zabezpečení Integrita systému není uloženo v samotném systému Mac OS X. Místo toho je uložen v NVRAM na každém počítači Mac. Může být upravena pouze z prostředí obnovy.

    Chcete-li spustit režim obnovení, restartujte Mac a přidržte příkaz Command + R při spuštění. Vstupte do prostředí pro obnovu. Klikněte na nabídku "Nástroje" a vyberte "Terminál" pro otevření okna terminálu.

    Do terminálu zadejte následující příkaz a stisknutím klávesy Enter zkontrolujte stav:

    csrutil status

    Uvidíte, zda je ochrana integrity systému povolena nebo ne.

    Chcete-li zakázat ochranu Integrita systému, spusťte následující příkaz:

    csrutil zakázat

    Pokud se rozhodnete, že chcete SIP povolit později, vraťte se do prostředí pro obnovení a spusťte následující příkaz:

    csrutil enable

    Restartujte počítač Mac a nové nastavení zabezpečení Integrita systému se projeví. Uživatel root bude nyní mít úplný, neomezený přístup k celému operačnímu systému a každému souboru.


    Pokud jste dříve měli soubory uložené v těchto chráněných adresářích před inovací Mac OS X 10.11 El Capitan, nebyly odstraněny. Naleznete je přesunuté do adresáře / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / na vašem počítači Mac.

    Image Credit: Shinji na Flickru