Apple povolil v Mac OS od verze 10.11 novou výchozí funkci zaměřenou na zabezpečení nazvanou System Integrity Protection, často nazývanou rootless nebo SIP. Funkce SIP / rootless je zaměřena na zabránění kompromitaci Mac OS X škodlivým kódem, ať už úmyslně nebo náhodně, a v podstatě to, co SIP dělá, je uzamčení konkrétních umístění na systémové úrovni v systému souborů a současně brání určitým procesům v připojení k procesům na systémové úrovni. .

I když je bezpečnostní funkce System Integrity Protection účinná a naprostá většina uživatelů Macu by měla ponechat rootless povolený, někteří pokročilí uživatelé Maců mohou považovat rootless za příliš ochranný. Pokud tedy patříte do skupiny pokročilých uživatelů počítačů Mac, kteří nechtějí mít povolen SIP rootless ve své instalaci Mac OS X, ukážeme vám, jak tuto bezpečnostní funkci vypnout.

Jaké adresáře chrání SIP?

Než začnete deaktivovat SIP, možná vás zajímá, které adresáře SIP / rootless chrání před změnami. V současné době ochrana integrity systému zamyká následující adresáře na systémové úrovni v systému Mac OS X:

/Systém /sbin /bin /usr (s výjimkou podadresáře /usr/local) /Aplikace pro aplikace s předinstalovaným systémem Mac OS (Terminál, Safari, atd)

V souladu s tím může rootless způsobit, že některé aplikace, nástroje a skripty nebudou vůbec fungovat, a to i se sudo privelege, povoleným uživatelem root nebo přístupem správce.

Vypnutí ochrany integrity systému bez root v systému Mac OS X

Opět platí, že drtivá většina uživatelů Macu by neměla rootless deaktivovat. Deaktivace rootless je zaměřena výhradně na pokročilé uživatele Macu. Čiňte tak na vlastní nebezpečí, výslovně se to nedoporučuje.

1. Restartujte Mac a poté, co uslyšíte spouštěcí pípnutí, podržte současně klávesy Command + R, tím se Mac OS X spustí do režimu obnovy
2. Když se zobrazí obrazovka „MacOS Utilities“ / „OS X Utilities“, stáhněte místo toho nabídku „Utilities“ v horní části obrazovky a vyberte „Terminal“
3. Napište do terminálu následující příkaz a stiskněte return:

csrutil zakázat; restartovat

4. Uvidíte zprávu, že ochrana integrity systému byla deaktivována a Mac se musí restartovat, aby se změny projevily, a Mac se poté automaticky restartuje, stačí jej nechat spustit jako obvykle

Příkaz můžete také zadat sám bez automatického restartu, například:

csrutil zakázat

Mimochodem, pokud vás zajímá deaktivace rootless, možná budete chtít také deaktivovat Gatekeeper, když jste v příkazovém řádku.

Pokud plánujete na obrazovce Terminal nebo Mac OS Utilities dělat něco jiného, ​​možná budete chtít na konci vynechat příkaz automatického restartu, a ano, v případě, že by vás to zajímalo, toto je stejný režim obnovy, jaký se používá k přeinstalaci Mac OS X pomocí Internet Recovery.

Jakmile se Mac znovu spustí, ochrana integrity systému bude v systému Mac OS X zcela deaktivována, čímž bude umožněn úplný přístup k chráněným složkám uvedeným výše.

Kontrola stavu ochrany bez root/systémové integrity v systému Mac OS X

Pokud chcete znát stav rootless před restartem nebo bez restartování Macu do režimu obnovy, zadejte do terminálu následující příkaz:

stav csrutil

Uvidíte buď jednu ze dvou zpráv, povoleno indi:

nebo

Pokud budete chtít kdykoli změnit stav rootless, je vyžadován další restart do režimu obnovení.

Jak znovu povolit ochranu integrity systému bez root v systému Mac OS X

Jednoduše restartujte Mac znovu do režimu obnovení podle pokynů výše, ale na příkazovém řádku použijte místo toho následující syntaxi:

csrutil enable

Stejně jako předtím, aby se změny projevily, je třeba restartovat Mac.

Jak již bylo řečeno, drtivá většina uživatelů Mac by měla ponechat povolený rootless a přijmout ochranu integrity systému, protože většina uživatelů Mac OS X stejně nemá co dělat v adresářích na systémové úrovni. Úprava této funkce je skutečně zaměřena na pokročilé uživatele počítačů Mac, ať už jde o IT, systémové správce, správce sítě, vývojáře, kutily, bezpečnostní operace a další související vysoce technické obory.