13Aug
Mac OS X 10.11 El Capitan schützt Systemdateien und Prozesse mit einem neuen Feature namens System Integrity Protection. SIP ist eine Funktion auf Kernel-Ebene, die das begrenzt, was das Konto "root" leisten kann.
Dies ist eine großartige Sicherheitsfunktion, und fast jeder - auch "Power User" und Entwickler - sollte es aktiviert lassen. Wenn Sie jedoch Systemdateien wirklich ändern müssen, können Sie sie umgehen.
Was ist Systemintegritätsschutz?
Auf Mac OS X und anderen UNIX-ähnlichen Betriebssystemen, einschließlich Linux, gibt es ein "root" -Konto, das traditionell vollen Zugriff auf das gesamte Betriebssystem hat. Wenn Sie Root-Benutzer werden oder Stammberechtigungen erhalten, erhalten Sie Zugriff auf das gesamte Betriebssystem und können Dateien ändern und löschen. Malware, die root-Berechtigungen erhält, könnte diese Berechtigungen verwenden, um die Low-Level-Betriebssystemdateien zu beschädigen und zu infizieren.
Geben Sie Ihr Passwort in einen Sicherheitsdialog ein und Sie haben der Anwendung Root-Berechtigungen erteilt. Dies ermöglicht traditionell, alles mit Ihrem Betriebssystem zu tun, obwohl viele Mac-Benutzer dies möglicherweise nicht erkannt haben.
System Integrity Protection - auch bekannt als "rootless" - funktioniert durch die Einschränkung des Root-Accounts. Der Betriebssystemkern selbst überprüft den Zugriff des Root-Benutzers und lässt bestimmte Aktionen nicht zu, z. B. das Ändern geschützter Speicherorte oder das Einfügen von Code in geschützte Systemprozesse. Alle Kernel-Erweiterungen müssen signiert sein, und Sie können den Systemintegritätsschutz nicht in Mac OS X selbst deaktivieren. Anwendungen mit erhöhten Root-Berechtigungen können Systemdateien nicht mehr manipulieren.
Sie werden dies am wahrscheinlichsten bemerken, wenn Sie versuchen, in eines der folgenden Verzeichnisse zu schreiben:
- / System
- / bin
- / usr
- / sbin
OS X lässt es einfach nicht zu, und Sie werden ein "Operation nicht erlaubt "Nachricht. OS X erlaubt es Ihnen auch nicht, einen anderen Standort über eines dieser geschützten Verzeichnisse anzulegen, daher gibt es keinen Weg dorthin.
Die vollständige Liste der geschützten Speicherorte finden Sie unter /System/Library/Sandbox/ rootless.conf auf Ihrem Mac. Es enthält Dateien wie die Apps Mail.app und Chess.app, die in Mac OS X enthalten sind, sodass Sie diese nicht entfernen können - nicht einmal über die Befehlszeile als root-Benutzer. Dies bedeutet auch, dass Malware diese Anwendungen nicht ändern und infizieren kann.
Nicht zufällig wurde die Option "Disk-Berechtigungen reparieren" im Festplatten-Dienstprogramm - lange Zeit zur Fehlerbehebung bei verschiedenen Mac-Problemen - jetzt entfernt. Der Systemintegritätsschutz sollte verhindern, dass wichtige Dateiberechtigungen trotzdem manipuliert werden. Das Festplatten-Dienstprogramm wurde neu gestaltet und verfügt weiterhin über eine "Erste Hilfe" -Option für die Reparatur von Fehlern, enthält jedoch keine Möglichkeit, Berechtigungen zu reparieren.
So deaktivieren Sie den Systemintegritätsschutz
Warnung : Tun Sie dies nur, wenn Sie einen sehr guten Grund dafür haben und genau wissen, was Sie tun! Die meisten Benutzer müssen diese Sicherheitseinstellung nicht deaktivieren. Es soll nicht verhindern, dass Sie sich mit dem System herumschlagen - es soll verhindern, dass Malware und andere schlecht benehmte Programme mit dem System in Konflikt geraten. Einige Low-Level-Dienstprogramme funktionieren jedoch nur, wenn sie uneingeschränkten Zugriff haben.
Die Einstellung für den Systemintegritätsschutz wird nicht in Mac OS X selbst gespeichert. Stattdessen wird es im NVRAM auf jedem einzelnen Mac gespeichert. Es kann nur von der Wiederherstellungsumgebung aus geändert werden.
Um den Wiederherstellungsmodus zu starten, starte deinen Mac neu und halte Command + R beim Booten gedrückt. Sie betreten die Wiederherstellungsumgebung. Klicken Sie auf das Menü "Dienstprogramme" und wählen Sie "Terminal", um ein Terminalfenster zu öffnen.
Geben Sie den folgenden Befehl in das Terminal ein und drücken Sie die Eingabetaste, um den Status zu überprüfen:
csrutil status
Sie werden sehen, ob der Systemintegritätsschutz aktiviert ist oder nicht.
Führen Sie den folgenden Befehl aus, um den Systemintegritätsschutz zu deaktivieren:
csrutil
deaktivieren Wenn Sie SIP später aktivieren möchten, kehren Sie zur Wiederherstellungsumgebung zurück und führen Sie den folgenden Befehl aus:
csrutil
aktivieren Starten Sie Ihren Mac und den neuen Systemintegritätsschutz neuEinstellung wird wirksam. Der Root-Benutzer hat nun uneingeschränkten Zugriff auf das gesamte Betriebssystem und jede Datei.
Wenn Sie zuvor Dateien in diesen geschützten Verzeichnissen gespeichert hatten, bevor Sie Ihren Mac auf OS X 10.11 El Capitan aktualisiert haben, wurden sie nicht gelöscht. Sie werden feststellen, dass sie in das /Library/SystemMigration/History/ Migration-( UUID) /QuarantineRoot/-Verzeichnis auf Ihrem Mac verschoben wurden.
Bildquelle: Shinji auf Flickr
