Πώς να απενεργοποιήσετε την προστασία ακεραιότητας συστήματος σε ένα Mac (και γιατί δεν πρέπει)
Το Mac OS X 10.11 El Capitan προστατεύει τα αρχεία και τις διαδικασίες του συστήματος με ένα νέο χαρακτηριστικό που ονομάζεται Προστασία Ακεραιότητας Συστήματος. Το SIP είναι μια λειτουργία σε επίπεδο πυρήνα που περιορίζει τι μπορεί να κάνει ο λογαριασμός "root".
Αυτό είναι ένα εξαιρετικό χαρακτηριστικό ασφάλειας και σχεδόν όλοι - ακόμη και οι "power users" και οι προγραμματιστές - θα πρέπει να το αφήσουν ενεργοποιημένο. Αλλά, αν πραγματικά χρειάζεστε να τροποποιήσετε αρχεία συστήματος, μπορείτε να το παρακάμψετε.
Τι είναι η Προστασία Ακεραιότητας Συστήματος?
Στο Mac OS X και σε άλλα λειτουργικά συστήματα που μοιάζουν με UNIX, συμπεριλαμβανομένου του Linux, υπάρχει ένας λογαριασμός root, ο οποίος παραδοσιακά έχει πλήρη πρόσβαση σε ολόκληρο το λειτουργικό σύστημα. Η καθιέρωση του root χρήστη - ή η απόκτηση δικαιωμάτων root - σας δίνει πρόσβαση σε ολόκληρο το λειτουργικό σύστημα και τη δυνατότητα τροποποίησης και διαγραφής οποιουδήποτε αρχείου. Το κακόβουλο πρόγραμμα που αποκτά δικαιώματα root θα μπορούσε να χρησιμοποιήσει αυτά τα δικαιώματα για να καταστρέψει και να μολύνει τα αρχεία λειτουργικού συστήματος χαμηλού επιπέδου.
Πληκτρολογήστε τον κωδικό πρόσβασής σας σε ένα παράθυρο διαλόγου ασφαλείας και έχετε δώσει τα δικαιώματα root root της εφαρμογής. Αυτό παραδοσιακά επιτρέπει σε αυτό να κάνει οτιδήποτε στο λειτουργικό σας σύστημα, αν και πολλοί χρήστες Mac ενδέχεται να μην το έχουν συνειδητοποιήσει αυτό.
Η προστασία ακεραιότητας συστήματος - γνωστή και ως "rootless" - λειτουργεί με περιορισμό του λογαριασμού root. Ο ίδιος ο πυρήνας του λειτουργικού συστήματος ελέγχει την πρόσβαση του χρήστη του root και δεν του επιτρέπει να κάνει συγκεκριμένα πράγματα, όπως να τροποποιήσει προστατευμένες τοποθεσίες ή να εισάγει κώδικα σε προστατευμένες διαδικασίες του συστήματος. Όλες οι επεκτάσεις του πυρήνα πρέπει να είναι υπογεγραμμένες και δεν μπορείτε να απενεργοποιήσετε την προστασία ακεραιότητας συστήματος από το ίδιο το Mac OS X. Οι εφαρμογές με αυξημένα δικαιώματα root δεν μπορούν πλέον να παραβιάζουν αρχεία συστήματος.
Είναι πολύ πιθανό να το παρατηρήσετε εάν επιχειρήσετε να γράψετε σε έναν από τους παρακάτω καταλόγους:
- /Σύστημα
- /αποθήκη
- / usr
- / sbin
Το OS X δεν θα το επιτρέψει και θα δείτε ένα μήνυμα "Η λειτουργία δεν επιτρέπεται". Το OS X επίσης δεν θα σας επιτρέψει να τοποθετήσετε μια άλλη τοποθεσία πάνω σε έναν από αυτούς τους προστατευμένους καταλόγους, οπότε δεν υπάρχει τρόπος γύρω από αυτό.
Ο πλήρης κατάλογος προστατευμένων τοποθεσιών βρίσκεται στο /System/Library/Sandbox/rootless.conf στον Mac σας. Περιλαμβάνει αρχεία όπως οι εφαρμογές Mail.app και Chess.app που περιλαμβάνονται στο Mac OS X, ώστε να μην μπορείτε να τις καταργήσετε - ακόμα και από τη γραμμή εντολών ως χρήστη root. Αυτό σημαίνει επίσης ότι το κακόβουλο λογισμικό δεν μπορεί να τροποποιήσει και να μολύνει αυτές τις εφαρμογές.
Δεν είναι τυχαίο ότι η επιλογή "Επιλογές δίσκου επισκευής" στο Disk Utility - που χρησιμοποιείται πολύ για την αντιμετώπιση προβλημάτων διαφόρων Mac - έχει καταργηθεί. Η Προστασία Ακεραιότητας του Συστήματος θα πρέπει να εμποδίζει την παραποίηση των κρίσιμων αδειών αρχείων. Το Disk Utility έχει επανασχεδιαστεί και εξακολουθεί να έχει την επιλογή First Aid για την επιδιόρθωση σφαλμάτων, αλλά δεν περιλαμβάνει κανέναν τρόπο για την επιδιόρθωση των δικαιωμάτων.
Πώς να απενεργοποιήσετε την προστασία ακεραιότητας συστήματος
Προειδοποίηση: Μην το κάνετε αυτό εκτός αν έχετε έναν πολύ καλό λόγο να το κάνετε και να ξέρετε τι ακριβώς κάνετε! Οι περισσότεροι χρήστες δεν θα χρειαστεί να απενεργοποιήσουν αυτήν τη ρύθμιση ασφαλείας. Δεν έχει σκοπό να σας εμποδίσει να ανακατεύετε με το σύστημα - σκοπός του είναι να αποτρέψει το κακόβουλο λογισμικό και άλλα προγράμματα με κακή συμπεριφορά από την αναστάτωση του συστήματος. Ωστόσο, ορισμένα βοηθητικά προγράμματα χαμηλού επιπέδου μπορούν να λειτουργούν μόνο εάν έχουν απεριόριστη πρόσβαση.
Η ρύθμιση Προστασία ακεραιότητας συστήματος δεν αποθηκεύεται στο ίδιο το Mac OS X. Αντίθετα, αποθηκεύεται σε NVRAM σε κάθε μεμονωμένο Mac. Μπορεί να τροποποιηθεί μόνο από το περιβάλλον ανάκτησης.
Για να εκκινήσετε σε κατάσταση αποκατάστασης, κάντε επανεκκίνηση του Mac και κρατήστε το Command + R καθώς εκκινεί. Θα εισέλθετε στο περιβάλλον αποκατάστασης. Κάντε κλικ στο μενού "Βοηθήματα" και επιλέξτε "Τερματικό" για να ανοίξετε ένα παράθυρο τερματικού.
Πληκτρολογήστε την ακόλουθη εντολή στο τερματικό και πατήστε Enter για να ελέγξετε την κατάσταση:
csrutil status
Θα δείτε αν είναι ενεργοποιημένη η προστασία ακεραιότητας συστήματος ή όχι.
Για να απενεργοποιήσετε την προστασία ακεραιότητας συστήματος, εκτελέστε την ακόλουθη εντολή:
csrutil απενεργοποίηση
Αν αποφασίσετε να ενεργοποιήσετε αργότερα το SIP, επιστρέψτε στο περιβάλλον αποκατάστασης και εκτελέστε την ακόλουθη εντολή:
csrutil ενεργοποίηση
Επανεκκινήστε το Mac και η νέα σας Προστασία Ακεραιότητας συστήματος θα τεθεί σε ισχύ. Ο χρήστης root θα έχει τώρα πλήρη πρόσβαση χωρίς περιορισμούς σε ολόκληρο το λειτουργικό σύστημα και σε κάθε αρχείο.
Εάν προηγουμένως έχετε αποθηκεύσει αρχεία σε αυτούς τους προστατευμένους καταλόγους προτού αναβαθμίσετε το Mac σας στο OS X 10.11 El Capitan, δεν έχουν διαγραφεί. Θα βρείτε ότι μεταφέρονται στον κατάλογο / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / στο Mac.
Πιστοποίηση εικόνας: Shinji στο Flickr