Bagaimana Melumpuhkan Perlindungan Integriti Sistem pada Mac (dan Kenapa Anda Tidak Perlu)
Mac OS X 10.11 El Capitan melindungi fail dan proses sistem dengan ciri baru bernama Perlindungan Integriti Sistem. SIP adalah ciri peringkat kernel yang menghadkan apa yang boleh dilakukan oleh "root".
Ini adalah ciri keselamatan yang hebat, dan hampir semua orang - bahkan "pengguna kuasa" dan pemaju - harus membiarkannya diaktifkan. Tetapi, jika anda benar-benar perlu mengubah suai fail sistem, anda boleh memintasnya.
Apakah Perlindungan Integriti Sistem??
Di Mac OS X dan sistem operasi seperti UNIX, termasuk Linux, terdapat akaun "root" yang secara tradisional mempunyai akses penuh ke seluruh sistem operasi. Menjadi pengguna root - atau mendapatkan kebenaran root - memberikan anda akses ke seluruh sistem operasi dan keupayaan untuk mengubah suai dan memadam sebarang fail. Malware yang mendapat keizinan root boleh menggunakan keizinan tersebut untuk merosakkan dan menjangkiti fail sistem operasi peringkat rendah.
Taip kata laluan anda ke dalam dialog keselamatan dan anda telah memberikan izin root aplikasi. Ini secara tradisinya membolehkan ia melakukan apa sahaja untuk sistem operasi anda, walaupun ramai pengguna Mac mungkin tidak menyedari ini.
Perlindungan Integriti Sistem - juga dikenali sebagai "rootless" - berfungsi dengan menyekat akaun root. Kernel sistem operasi itu sendiri meletakkan pemeriksaan pada akses root pengguna dan tidak akan membenarkannya melakukan perkara-perkara tertentu, seperti memodifikasi lokasi yang dilindungi atau menyuntik kod ke dalam proses sistem yang dilindungi. Semua sambungan kernel mesti ditandatangani, dan anda tidak boleh melumpuhkan Perlindungan Integriti Sistem dari dalam Mac OS X itu sendiri. Aplikasi dengan keizinan akar yang tinggi tidak lagi dapat merosakkan fail sistem.
Anda kemungkinan besar dapat melihat ini jika anda cuba menulis ke salah satu daripada direktori berikut:
- / Sistem
- / bin
- / usr
- / sbin
OS X tidak akan membenarkannya, dan anda akan melihat mesej "Operasi tidak dibenarkan". OS X juga tidak akan membenarkan anda melancarkan lokasi lain di salah satu direktori yang dilindungi ini, jadi tidak ada cara untuk mengelakkannya.
Senarai lengkap lokasi yang dilindungi dijumpai di /System/Library/Sandbox/rootless.conf pada Mac anda. Ia termasuk fail seperti aplikasi Mail.app dan Chess.app yang disertakan dengan Mac OS X, jadi anda tidak boleh mengeluarkannya - walaupun dari baris arahan sebagai pengguna root. Ini juga bermaksud bahawa malware tidak dapat mengubah dan menjangkiti aplikasi tersebut, bagaimanapun.
Bukan kebetulan, pilihan "pembaikan cakera keras" dalam Utiliti Disk - lama digunakan untuk menyelesaikan masalah pelbagai Mac - kini telah dialih keluar. Perlindungan Integriti Sistem harus menghalang keizinan fail penting daripada ditolak dengan, bagaimanapun juga. Utiliti Disk telah direka semula dan masih mempunyai pilihan "Bantuan Pertama" untuk memperbaiki kesalahan, tetapi tidak termasuk cara untuk membaiki kebenaran.
Bagaimana untuk Melumpuhkan Perlindungan Integriti Sistem
Amaran: Jangan lakukan ini melainkan jika anda mempunyai alasan yang sangat baik untuk berbuat demikian dan ketahui dengan tepat apa yang anda lakukan! Kebanyakan pengguna tidak perlu melumpuhkan tetapan keselamatan ini. Ia tidak bertujuan untuk menghalang anda daripada mengawal sistem - ini bertujuan untuk menghalang program malware dan lain-lain yang berkelakuan buruk daripada mengawal sistem. Tetapi sesetengah utiliti tahap rendah hanya berfungsi jika mereka mempunyai akses tanpa batasan.
Tetapan Perlindungan Integriti Sistem tidak disimpan di Mac OS X sendiri. Sebaliknya, ia disimpan di NVRAM pada setiap Mac individu. Ia hanya boleh diubah dari persekitaran pemulihan.
Untuk boot ke mod pemulihan, mulakan semula Mac anda dan tahan Command + R saat ia boot. Anda akan memasuki persekitaran pemulihan. Klik menu "Utiliti" dan pilih "Terminal" untuk membuka tetingkap terminal.
Taipkan perintah berikut ke dalam terminal dan tekan Enter untuk memeriksa statusnya:
status csrutil
Anda akan melihat sama ada Perlindungan Integriti Sistem diaktifkan atau tidak.
Untuk melumpuhkan Perlindungan Integriti Sistem, jalankan arahan berikut:
csrutil disable
Sekiranya anda memutuskan untuk mendayakan SIP kemudian, kembali ke persekitaran pemulihan dan jalankan perintah berikut:
csrutil enable
Mulakan semula Mac anda dan tetapan Perlindungan Integriti Sistem baru anda akan berkuatkuasa. Pengguna akar kini akan mempunyai akses penuh, tidak terbatas kepada keseluruhan sistem operasi dan setiap fail.
Jika sebelum ini anda mempunyai fail yang disimpan dalam direktori yang dilindungi ini sebelum anda meningkatkan Mac anda ke OS X 10.11 El Capitan, mereka belum dihapuskan. Anda akan mendapati mereka berpindah ke direktori / Perpustakaan / Sistem Migrasi / Sejarah / Migrasi- (UUID) / QuarantineRoot / pada Mac anda.
Image Credit: Shinji on Flickr