Как отключить защиту целостности системы на Mac (и почему этого не следует делать)

Mac OS X 10.11 El Capitan защищает системные файлы и процессы с помощью новой функции под названием Защита целостности системы. SIP - это функция уровня ядра, которая ограничивает возможности учетной записи «root».

Это отличная функция безопасности, и почти все, даже «опытные пользователи» и разработчики, должны оставить ее включенной. Но, если вам действительно нужно изменить системные файлы, вы можете обойти это.

Что такое защита целостности системы?

СВЯЗАННЫЕ: Что такое Unix и почему это важно?

В Mac OS X и других UNIX-подобных операционных системах, включая Linux, существует учетная запись «root», которая традиционно имеет полный доступ ко всей операционной системе. Став пользователем root или получением разрешений root, вы получаете доступ ко всей операционной системе и возможность изменять и удалять любой файл. Вредоносное ПО, которое получает права root, может использовать эти разрешения для повреждения и заражения файлов операционной системы низкого уровня.

Введите свой пароль в диалоговое окно безопасности, и вы предоставили права root-права приложения. Это традиционно позволяет ему делать что угодно с вашей операционной системой, хотя многие пользователи Mac, возможно, этого не осознавали.

Защита целостности системы, также известная как «без root», работает путем ограничения учетной записи root. Само ядро ​​операционной системы проверяет доступ пользователя root и не позволяет ему выполнять определенные действия, например изменять защищенные местоположения или внедрять код в защищенные системные процессы. Все расширения ядра должны быть подписаны, и вы не можете отключить защиту целостности системы из самой Mac OS X. Приложения с повышенными правами root больше не могут вмешиваться в системные файлы.

Скорее всего, вы заметите это, если попытаетесь записать в один из следующих каталогов:

  • / Система
  • / bin
  • / usr
  • / sbin

OS X просто не позволит этого, и вы увидите сообщение «Операция запрещена». OS X также не позволит вам смонтировать другое место поверх одного из этих защищенных каталогов, поэтому нет никакого способа обойти это.

Полный список защищенных расположений находится в /System/Library/Sandbox/rootless.conf на вашем Mac. Он включает такие файлы, как приложения Mail.app и Chess.app, включенные в Mac OS X, поэтому вы не можете удалить их - даже из командной строки как пользователь root. Однако это также означает, что вредоносные программы не могут изменять и заражать эти приложения.

Не случайно параметр «восстановить права доступа к диску» в Дисковой утилите, который долгое время использовался для устранения различных проблем Mac, теперь удален. Защита целостности системы в любом случае должна предотвращать подделку важных разрешений файлов. Дисковая утилита была переработана, и в ней по-прежнему есть опция «Первая помощь» для исправления ошибок, но нет возможности исправлять разрешения.

Как отключить защиту целостности системы

Предупреждение : не делайте этого, если у вас нет веской причины для этого и вы точно не знаете, что делаете! Большинству пользователей не нужно отключать этот параметр безопасности. Он не предназначен для того, чтобы помешать вам вмешиваться в систему - он предназначен для предотвращения проникновения вредоносных программ и других программ с плохим поведением в систему. Но некоторые низкоуровневые утилиты могут работать только при неограниченном доступе.

СВЯЗАННЫЕ: 8 функций системы Mac, к которым вы можете получить доступ в режиме восстановления

Параметр защиты целостности системы не сохраняется в самой Mac OS X. Вместо этого он хранится в NVRAM на каждом отдельном Mac. Его можно изменить только из среды восстановления.

Чтобы загрузиться в режиме восстановления, перезагрузите Mac и удерживайте Command + R во время загрузки. Вы войдете в среду восстановления. Щелкните меню «Утилиты» и выберите «Терминал», чтобы открыть окно терминала.

Введите следующую команду в терминал и нажмите Enter, чтобы проверить статус:

csrutil status

Вы увидите, включена ли защита целостности системы.

Чтобы отключить защиту целостности системы, выполните следующую команду:

csrutil отключить

Если вы решите включить SIP позже, вернитесь в среду восстановления и выполните следующую команду:

csrutil enable

Перезагрузите Mac, и новые настройки защиты целостности системы вступят в силу. Пользователь root теперь будет иметь полный, неограниченный доступ ко всей операционной системе и каждому файлу.

Если у вас раньше были файлы, хранящиеся в этих защищенных каталогах, до того, как вы обновили свой Mac до OS X 10.11 El Capitan, они не были удалены. Вы найдете их перемещенными в папку / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / на вашем Mac.

Кредит изображения: Синдзи на Flickr