Как отключить защиту целостности системы на Mac (и почему не стоит)
Mac OS X 10.11 El Capitan защищает системные файлы и процессы с помощью новой функции, которая называется Защита целостности системы. SIP - это функция уровня ядра, которая ограничивает возможности учетной записи «root»..
Это отличная функция безопасности, и почти все - даже «опытные пользователи» и разработчики - должны оставить ее включенной. Но, если вам действительно нужно изменить системные файлы, вы можете обойти это.
Что такое защита целостности системы?
В Mac OS X и других UNIX-подобных операционных системах, включая Linux, есть учетная запись «root», которая традиционно имеет полный доступ ко всей операционной системе. Стать пользователем root или получить права root дает вам доступ ко всей операционной системе и возможность изменять и удалять любые файлы. Вредоносное ПО, которое получает разрешения root, может использовать эти разрешения для повреждения и заражения файлов операционной системы низкого уровня..
Введите свой пароль в диалоговом окне безопасности, и вы дали root-права приложения. Это традиционно позволяет ему что-либо делать с вашей операционной системой, хотя многие пользователи Mac могут этого не осознавать.
Защита целостности системы, также известная как «rootless», работает путем ограничения учетной записи root. Ядро операционной системы само проверяет доступ пользователя root и не позволяет ему делать определенные вещи, такие как изменение защищенных мест или внедрение кода в защищенные системные процессы. Все расширения ядра должны быть подписаны, и вы не можете отключить защиту целостности системы из самой Mac OS X. Приложения с повышенными правами доступа root больше не могут вмешиваться в системные файлы.
Скорее всего, вы заметите это, если попытаетесь написать в один из следующих каталогов:
- / System
- / бен
- / USR
- / SBIN
OS X просто не разрешит этого, и вы увидите сообщение «Операция не разрешена». OS X также не позволит вам смонтировать другое расположение над одним из этих защищенных каталогов, так что нет никакого способа обойти это.
Полный список защищенных мест находится по адресу /System/Library/Sandbox/rootless.conf на вашем Mac. Он включает в себя файлы, такие как приложения Mail.app и Chess.app, включенные в Mac OS X, поэтому вы не можете удалить их - даже из командной строки как пользователь root. Это также означает, что вредоносные программы не могут изменять и заражать эти приложения, однако.
Не случайно опция «восстановить права доступа к диску» в Дисковой утилите - давно используемая для устранения неполадок различных проблем Mac - теперь была удалена. Защита целостности системы в любом случае должна предотвращать подделку важных разрешений файлов. Дисковая утилита была переработана и в ней по-прежнему есть опция «Первая помощь» для исправления ошибок, но она не включает способ исправления разрешений..
Как отключить защиту целостности системы
ПредупреждениеНе делайте этого, если у вас нет очень веских причин для этого и точно знаете, что вы делаете! Большинству пользователей не нужно отключать этот параметр безопасности. Он не предназначен для того, чтобы не мешать вам работать с системой, а для того, чтобы вредоносные программы и другие программы с плохим поведением не могли связываться с системой. Но некоторые низкоуровневые утилиты могут функционировать, только если они имеют неограниченный доступ.
Параметр «Защита целостности системы» не сохраняется в самой Mac OS X. Вместо этого он хранится в NVRAM на каждом отдельном Mac. Его можно изменить только из среды восстановления..
Чтобы загрузиться в режиме восстановления, перезагрузите Mac и удерживайте Ctrl + R во время загрузки. Вы войдете в среду восстановления. Нажмите меню «Утилиты» и выберите «Терминал», чтобы открыть окно терминала..
Введите следующую команду в терминал и нажмите Enter, чтобы проверить статус:
статус csrutil
Вы увидите, включена ли защита целостности системы или нет.
Чтобы отключить защиту целостности системы, выполните следующую команду:
отключить csrutil
Если вы решите, что хотите включить SIP позже, вернитесь в среду восстановления и выполните следующую команду:
csrutil enable
Перезагрузите Mac, и ваши новые настройки защиты целостности системы вступят в силу. Пользователь root теперь будет иметь полный неограниченный доступ ко всей операционной системе и каждому файлу..
Если вы ранее сохраняли файлы в этих защищенных каталогах до того, как обновили свой Mac до OS X 10.11 El Capitan, они не были удалены. Вы найдете их перемещенными в каталог / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / на вашем Mac.
Изображение предоставлено: Синдзи на Flickr