כיצד להשבית את הגנת שלמות המערכת ב- Mac (ומדוע לא כדאי)

Mac OS X 10.11 El Capitan מגן על קבצי מערכת ותהליכים בעזרת תכונה חדשה בשם System Integrity Protection. SIP הוא תכונה ברמת הליבה המגבילה את מה שחשבון "השורש" יכול לעשות.

זוהי תכונת אבטחה נהדרת, וכמעט כולם - אפילו "משתמשי כוח" ומפתחים - צריכים להשאיר אותה מופעלת. אבל אם אתה באמת צריך לשנות קבצי מערכת, אתה יכול לעקוף את זה.

מהי הגנת שלמות המערכת?

קשורים: מה זה יוניקס, ולמה זה משנה?

ב- Mac OS X ובמערכות הפעלה אחרות הדומות ל- UNIX, כולל לינוקס, יש חשבון "שורש" שבאופן מסורתי יש לו גישה מלאה לכל מערכת ההפעלה. הפיכת המשתמש לשורש - או השגת הרשאות שורש - מעניקה לך גישה לכל מערכת ההפעלה ויכולת לשנות ולמחוק כל קובץ. תוכנות זדוניות שצוברות הרשאות שורש עשויות להשתמש בהרשאות אלה כדי לפגוע ולהדביק את קבצי מערכת ההפעלה הנמוכים.

הקלד את הסיסמה שלך בתיבת דו-שיח אבטחה והענקת הרשאות שורש היישום. באופן מסורתי זה מאפשר לו לעשות הכל למערכת ההפעלה שלך, אם כי משתמשי מק רבים רבים אולי לא הבינו זאת.

הגנת שלמות המערכת - המכונה גם "ללא שורש" - מתפקדת על ידי הגבלת חשבון השורש. ליבת מערכת ההפעלה עצמה בודקת את הגישה של משתמש השורש ולא תאפשר לו לעשות דברים מסוימים, כגון שינוי מיקומים מוגנים או הזרקת קוד לתהליכי מערכת מוגנים. יש לחתום על כל סיומות הליבה ולא ניתן להשבית את הגנת שלמות המערכת מתוך Mac OS X עצמו. יישומים עם הרשאות שורש גבוהות כבר לא יכולים להתעסק בקבצי מערכת.

סביר להניח שתבחין בכך אם תנסה לכתוב לאחת מהספריות הבאות:

  • /מערכת
  • /פַּח
  • / usr
  • / sbin

OS X פשוט לא יאפשר זאת ותראה הודעת "פעולה אסורה". OS X גם לא יאפשר לך להעלות מיקום אחר על אחת מספריות המוגנות האלה, כך שאין שום דרך לעקוף את זה.

הרשימה המלאה של מיקומים מוגנים נמצאת בכתובת /System/Library/Sandbox/rootless.conf ב- Mac שלך. הוא כולל קבצים כמו יישומי Mail.app ו- Chess.app הכלולים ב- Mac OS X, כך שלא תוכלו להסיר אותם - אפילו משורת הפקודה כמשתמש הבסיס. פירוש הדבר גם שתוכנות זדוניות אינן יכולות לשנות ולהדביק יישומים אלה.

לא במקרה, האפשרות "הרשאות דיסק תיקון" בתוכנית השירות לדיסק - ששימשה זמן רב לפתרון בעיות שונות ב- Mac - הוסרה כעת. הגנת שלמות המערכת אמורה למנוע ממילא להתמודד עם הרשאות מכריעות. כלי הדיסק עוצב מחדש ועדיין יש לו אפשרות "עזרה ראשונה" לתיקון שגיאות, אך אינו כולל דרך לתקן הרשאות.

כיצד להשבית את הגנת שלמות המערכת

אזהרה : אל תעשו זאת אלא אם כן יש לכם סיבה טובה מאוד לעשות זאת ותדעו בדיוק מה אתם עושים! רוב המשתמשים לא יצטרכו להשבית את הגדרת האבטחה הזו. זה לא נועד למנוע מכם להתעסק עם המערכת - זה נועד למנוע מתוכנות זדוניות ותוכניות אחרות שלא התנהגו בצורה גרועה להתעסק עם המערכת. אך חלק מהשירותים ברמה נמוכה עשויים לפעול רק אם יש להם גישה בלתי מוגבלת.

קשורים: 8 תכונות מערכת Mac שאתה יכול לגשת אליו במצב שחזור

הגדרת הגנת שלמות המערכת אינה מאוחסנת ב- Mac OS X עצמו. במקום זאת, הוא מאוחסן ב- NVRAM על כל מק. ניתן לשנות אותו רק מסביבת ההתאוששות.

כדי לאתחל למצב התאוששות, הפעל מחדש את ה- Mac והחזק את Command + R תוך כדי אתחולו. תיכנס לסביבת ההתאוששות. לחץ על תפריט "Utilities" ובחר "Terminal" כדי לפתוח חלון מסוף.

הקלד את הפקודה הבאה למסוף ולחץ על Enter כדי לבדוק את המצב:

מעמד csrutil

תראה אם ​​הגנת שלמות המערכת מופעלת או לא.

כדי להשבית את הגנת שלמות המערכת, הפעל את הפקודה הבאה:

השבת csrutil

אם תחליט שברצונך להפעיל SIP מאוחר יותר, חזור לסביבת ההתאוששות והפעל את הפקודה הבאה:

הפעלת csrutil

הפעל מחדש את ה- Mac וההגדרה החדשה שלך להגנת שלמות המערכת תיכנס לתוקף. למשתמש הבסיסי תהיה כעת גישה מלאה ובלתי מוגבלת לכל מערכת ההפעלה ולכל קובץ.

אם בעבר היו לך קבצים המאוחסנים בספריות המוגנות האלה לפני ששדרגת את ה- Mac שלך ל- OS X 10.11 El Capitan, הם לא נמחקו. תמצא אותם הועברו לספריה / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / ב- Mac שלך.

קרדיט תמונה: שינג'י בפליקר