Com es desactiva la protecció d’integritat del sistema en un Mac (i per què no ho hauria de fer)

Mac OS X 10.11 El Capitan protegeix els fitxers i els processos del sistema amb una nova característica anomenada System Integrity Protection. SIP és una característica de nucli que limita el que pot fer el compte "root".

Aquesta és una característica de seguretat excel·lent i gairebé tothom, fins i tot els "usuaris avançats" i els desenvolupadors, haurien de deixar-la activada. Però, si realment necessiteu modificar fitxers del sistema, podeu passar-ho per alt.

Què és la protecció per integritat del sistema?

RELACIONATS:Què és Unix i per què importa?

A Mac OS X i altres sistemes operatius similars a UNIX, inclòs Linux, hi ha un compte "root" que tradicionalment té accés complet a tot el sistema operatiu. Convertir-vos en usuari root o obtenir permisos d’arrel us dóna accés a tot el sistema operatiu i la possibilitat de modificar i suprimir qualsevol fitxer. El programari maliciós que obté permisos d'arrel podria utilitzar-los per danyar i infectar els fitxers del sistema operatiu de baix nivell.

Escriviu la contrasenya en un quadre de diàleg de seguretat i heu donat els permisos d’arrel de l’aplicació. Tradicionalment, això li permet fer qualsevol cosa al vostre sistema operatiu, tot i que és possible que molts usuaris de Mac no se n’adonin.

La protecció per la integritat del sistema (també coneguda com a "sense root") funciona mitjançant la restricció del compte root. El nucli del sistema operatiu fa comprovar l'accés de l'usuari root i no li permetrà fer certes coses, com ara modificar ubicacions protegides o injectar codi als processos del sistema protegits. Totes les extensions del nucli han d’estar signades i no podeu desactivar la protecció d’integritat del sistema des del propi Mac OS X. Les aplicacions amb permisos d'arrel elevats ja no poden manipular els fitxers del sistema.

És probable que ho noteu si intenteu escriure a un dels directoris següents:

  • / Sistema
  • / bin
  • / usr
  • / sbin

OS X simplement no ho permetrà i veureu el missatge "Operació no permesa". OS X tampoc no us permetrà muntar una altra ubicació sobre un d’aquests directoris protegits, de manera que no hi ha manera d’evitar-ho.

La llista completa d’ubicacions protegides es troba a /System/Library/Sandbox/rootless.conf al vostre Mac. Inclou fitxers com les aplicacions Mail.app i Chess.app incloses amb Mac OS X, de manera que no podeu eliminar-les, fins i tot de la línia d’ordres com a usuari root. Tanmateix, això també significa que el programari maliciós no pot modificar ni infectar aquestes aplicacions.

No per casualitat, l’opció “reparar permisos de disc” de la Utilitat de disc, que s’utilitzava des de fa temps per resoldre diversos problemes de Mac, ara s’ha eliminat. La Protecció per la integritat del sistema hauria d'evitar que es modifiquessin els permisos crucials dels fitxers. La utilitat de disc s'ha redissenyat i encara té l'opció de "primers auxilis" per reparar errors, però no inclou cap manera de reparar els permisos.

Com es desactiva la protecció d’integritat del sistema

Advertiment: No ho feu tret que tingueu una raó molt bona per fer-ho i que sàpiga exactament el que feu. La majoria dels usuaris no hauran de desactivar aquesta configuració de seguretat. No està pensat per evitar que us enganxeu amb el sistema, sinó per evitar que el programari maliciós i altres programes de comportament dolent es posin en perill amb el sistema. Però algunes utilitats de baix nivell només poden funcionar si tenen accés sense restriccions.

RELACIONATS:8 Funcions del sistema Mac a les quals podeu accedir en mode de recuperació

La configuració de la protecció d’integritat del sistema no s’emmagatzema al propi Mac OS X. En lloc d’això, s’emmagatzema a NVRAM a cada Mac individual. Només es pot modificar des de l'entorn de recuperació.

Per arrencar en mode de recuperació, reinicieu el Mac i manteniu premut Command + R mentre arrenca. Accedireu a l’entorn de recuperació. Feu clic al menú "Utilitats" i seleccioneu "Terminal" per obrir una finestra de terminal.

Escriviu l'ordre següent al terminal i premeu Retorn per comprovar l'estat:

estat csrutil

Veureu si la Protecció de la integritat del sistema està activada o no.

Per desactivar la protecció per integritat del sistema, executeu l'ordre següent:

csrutil desactivar

Si decidiu activar SIP més tard, torneu a l'entorn de recuperació i executeu l'ordre següent:

habilitar csrutil

Reinicieu el Mac i el vostre nou paràmetre de Protecció de la integritat del sistema entrarà en vigor. L'usuari root ara tindrà el seu accés complet i sense restriccions a tot el sistema operatiu i a tots els fitxers.

Si abans teníeu fitxers emmagatzemats en aquests directoris protegits abans d’actualitzar el Mac a OS X 10.11 El Capitan, no s’han suprimit. Els trobareu moguts al directori / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / del vostre Mac.

Crèdit de la imatge: Shinji a Flickr


$config[zx-auto] not found$config[zx-overlay] not found