Mac OS X 10.11 El Capitan使用名為“系統完整性保護”的新功能保護系統檔案和程序。SIP是一個核心級的特性,它限制了“root”帳戶的功能。
這是一個很好的安全特性,幾乎所有人——甚至是“超級使用者”和開發人員——都應該啟用它。但是,如果您真的需要修改系統檔案,您可以繞過它。
相關:什麼是Unix,為什麼它很重要?
在macosx和其他類似UNIX的作業系統(包括Linux)上,有一個“root”帳戶,傳統上可以完全訪問整個作業系統。成為root使用者-或獲得root許可權-使您能夠訪問整個作業系統,並能夠修改和刪除任何檔案。獲得根許可權的惡意軟體可以使用這些許可權來破壞和感染低階作業系統檔案。
在一個安全對話方塊中鍵入密碼,您已經授予應用程式根許可權。這傳統上允許它對您的作業系統做任何事情,儘管許多Mac使用者可能還沒有意識到這一點。
系統完整性保護-也稱為“無根”-透過限制根帳戶發揮作用。作業系統核心本身檢查根使用者的訪問許可權,不允許它執行某些操作,例如修改受保護的位置或將程式碼注入受保護的系統程序。所有核心擴充套件都必須簽名,並且不能從macosx本身禁用系統完整性保護。具有提升的根許可權的應用程式不能再篡改系統檔案。
如果嘗試寫入以下目錄之一,則很可能會注意到這一點:
OSX只是不允許,您將看到一條“操作不允許”的訊息。OSX也不允許您在其中一個受保護的目錄上掛載另一個位置,因此無法解決此問題。
受保護位置的完整列表位於/System/Library/Sandbox/無根.conf在你的Mac上。它包括像郵件.app以及國際象棋.appMac OS X附帶的應用程式,因此您無法刪除這些應用程式-即使作為根使用者也無法從命令列中刪除這些應用程式。然而,這也意味著惡意軟體不能修改和感染這些應用程式。
不巧的是,disk Utility中的“修復磁碟許可權”選項(長期用於解決各種Mac問題)現在已被刪除。無論如何,系統完整性保護應該防止關鍵檔案許可權被篡改。磁碟實用程式已經過重新設計,仍然有修復錯誤的“急救”選項,但沒有修復許可權的方法。
警告:除非你有很好的理由這樣做,並且你知道你在做什麼,否則不要這樣做!大多數使用者不需要禁用此安全設定。這並不是為了防止你弄亂系統,而是為了防止惡意軟體和其他行為不好的程式弄亂系統。但是一些低級別的實用程式只有在無限制訪問的情況下才能執行。
相關:恢復模式下可訪問的8個Mac系統功能
系統完整性保護設定不儲存在Mac OS X本身中。相反,它儲存在每個單獨的Mac上的NVRAM中。它只能從恢復環境中修改。
要引導到恢復模式,請重新啟動Mac並在引導時按住Command+R。您將進入恢復環境。單擊“實用程式”選單並選擇“終端”以開啟終端視窗。
在終端中鍵入以下命令,然後按Enter鍵檢查狀態:
csrutil status
您將看到是否啟用了系統完整性保護。
要禁用系統完整性保護,請執行以下命令:
csrutil disable
如果您決定以後啟用SIP,請返回恢復環境並執行以下命令:
csrutil enable
重新啟動Mac,新的系統完整性保護設定將生效。根使用者現在可以完全、不受限制地訪問整個作業系統和每個檔案。
如果在將Mac升級到OS X 10.11 El Capitan之前,您的檔案儲存在這些受保護的目錄中,那麼它們尚未被刪除。您會發現它們被移動到Mac上的/Library/SystemMigration/History/Migration-(UUID)/QuarantineRoot/目錄中。
圖片來源:Flickr上的Shinji
... 什麼是系統完整性保護(system integrity protection)? ...
... 從2015年的OS X El Capitan開始,蘋果推出了系統完整性保護(SIP)。這透過限制對裝置上敏感資料夾的訪問來提高Mac的安全性。很遺憾,您需要訪問protected/System資料夾才能執行此PDF調整。 ...
... 但是,您應該注意,除非禁用系統完整性保護,否則無法更改Mac的充電音效。因為連線充電器時播放的聲音檔案位於/System資料夾中(macOS會鎖定該資料夾以保護您的計算機),因此預設情況下無法重新命名...
...前面提到的,macOS有幾個內建的保護層。其中之一,系統完整性保護(SIP),是在OSX El Capitan中引入的。本質上,SIP防止使用者和程式對作業系統的核心部分進行更改。 ...
... 大多數情況下,由於macOS的系統完整性保護(SIP),您無法從垃圾箱中刪除time Machine備份。這是macOS中的一個安全特性,它可以阻止您或其他任何人破壞作業系統的重要部分。蘋果在OSX El Capitan中推出了...
... 上面的應用程式允許您在不禁用SIP(系統完整性保護)的情況下進行許多有用的更改。當然,啟用SIP後,您將失去進行某些高階調整的能力。您仍然可以透過禁用SIP來繼續使用它們(但我們不建議這樣做)。 ...
隨著10.11elcapitan的釋出和系統完整性保護(簡稱SIP)的引入,macOS發生了重大變化。這是一項安全措施,早在2015年就對作業系統產生了相當大的影響。 ...
... 要限制Mac上的USB儲存,請首先使用我們的指南禁用系統完整性保護(SIP)。 ...
...一些Mac電腦上出現過資料損壞漏洞,人們特意禁用了系統完整性保護,這是一項重要的安全功能。這是有史以來最糟糕的事情,在Windows上也沒有發生過類似的事情。 相關報道:谷歌多久更新一次Chrome? 瀏覽器安全漏洞才是真正...