Како онемогућити заштиту интегритета система на Мац-у (и зашто не бисте требали)
Мац ОС Кс 10.11 Ел Цапитан штити системске датотеке и процесе новом функцијом под називом Заштита интегритета система. СИП је функција на нивоу језгра која ограничава оно што „роот“ налог може да уради.
Ово је одлична безбедносна карактеристика, и готово сви - чак и „захтевни корисници“ и програмери - треба да је оставе омогућеном. Али, ако заиста требате изменити системске датотеке, можете то заобићи.
Шта је заштита интегритета система?
ПОВЕЗАН:Шта је Уник и зашто је то важно?
На Мац ОС Кс и другим оперативним системима сличним УНИКС-у, укључујући Линук, постоји „роот“ налог који традиционално има пуни приступ целом оперативном систему. Ако постанете роот корисник - или стекнете роот дозволе - даје вам приступ читавом оперативном систему и могућност модификовања и брисања било које датотеке. Злонамерни софтвер који добија роот дозволе могао би да користи те дозволе за оштећење и заразу датотека оперативног система ниског нивоа.
Унесите лозинку у сигурносни дијалог и дали сте роот дозволе апликацији. Ово му традиционално омогућава да учини било шта на вашем оперативном систему, иако многи корисници Мац-а то можда нису схватили.
Заштита интегритета система - такође позната и као „без корена“ - функционише ограничавањем основног налога. Сама језгра оперативног система врши проверу приступа роот корисника и неће му дозволити да ради одређене ствари, као што је промена заштићених локација или убризгавање кода у заштићене системске процесе. Све екстензије језгра морају бити потписане и не можете онемогућити заштиту интегритета система из самог Мац ОС Кс-а. Апликације са повишеним роот дозволама више не могу неовлашћено радити на системским датотекама.
Ово ћете највероватније приметити ако покушате да пишете у један од следећих директоријума:
- / Систем
- / бин
- / уср
- / сбин
ОС Кс то једноставно неће дозволити, а видећете поруку „Операција није дозвољена“. ОС Кс вам такође неће дозволити да монтирате другу локацију преко једног од ових заштићених директоријума, па ово нема начина да се заобиђе.
Комплетна листа заштићених локација налази се на /Систем/Либрари/Сандбок/роотлесс.цонф на вашем Мацу. Укључује датотеке попут апликација Маил.апп и Цхесс.апп које су укључене у Мац ОС Кс, па их не можете уклонити - чак ни из командне линије као основни корисник. То такође значи да злонамерни софтвер не може да модификује и зарази те апликације.
Не случајно, опција „поправити дозволе диска“ у услужном програму Диск - која се дуго користила за решавање различитих Мац проблема - сада је уклоњена. Заштита интегритета система би у сваком случају требало да спречи неовлашћено руковање дозволама кључних датотека. Услужни програм Диск је редизајниран и још увек има опцију „Прва помоћ“ за поправљање грешака, али не укључује начин поправљања дозвола.
Како онемогућити заштиту интегритета система
Упозорење: Не радите то ако немате веома добар разлог за то и ако тачно не знате шта радите! Већина корисника неће морати да онемогући ову безбедносну поставку. Није намењен спречавању да се петљате са системом - намењен је спречавању да малвер и други програми лошег понашања забрљају систем. Али неке услужне службе ниског нивоа могу функционисати само ако имају неограничен приступ.
ПОВЕЗАН:8 Мац системских карактеристика којима можете приступити у режиму опоравка
Поставка заштите интегритета система није сачувана у самом Мац ОС Кс-у. Уместо тога, чува се у НВРАМ-у на сваком појединачном Мацу. Може се изменити само из окружења за опоравак.
Да бисте се покренули у режим опоравка, поново покрените Мац и држите Цомманд + Р док се покреће. Ући ћете у окружење за опоравак. Кликните мени „Услужни програми“ и одаберите „Терминал“ да бисте отворили прозор терминала.
Укуцајте следећу команду у терминал и притисните Ентер да бисте проверили статус:
цсрутил статус
Видећете да ли је заштита интегритета система омогућена или не.
Да бисте онемогућили заштиту интегритета система, покрените следећу наредбу:
цсрутил дисабле
Ако одлучите да касније желите да омогућите СИП, вратите се у окружење за опоравак и покрените следећу команду:
цсрутил енабле
Поново покрените Мац и нова поставка заштите заштите интегритета система ће ступити на снагу. Основни корисник ће сада имати пуни, неограничени приступ целокупном оперативном систему и свакој датотеци.
Ако сте претходно имали датотеке ускладиштене у овим заштићеним директоријумима пре него што сте надоградили Мац на ОС Кс 10.11 Ел Цапитан, оне нису избрисане. Преместићете их у директоријум / Либрари / СистемМигратион / Хистори / Мигратион- (УУИД) / КуарантинеРоот / на вашем Мац-у.
Кредит за слику: Схињи на Флицкр-у