Rootless w OS X El Capitan. Odważny krok w stronę bezpieczeństwa

by Mateusz Majewski on 6 września 2015

os-x-rootless

Apple stworzyło dwa wyjątkowe systemy operacyjne. Choć z jednej stajni, zawsze różniły się poziomem zaawansowania. Oczywiście na korzyść komputerowej wersji. Ostatnimi czasy ta różnica zaciera się znacząco – zaczęliśmy przecież nosić w kieszeniach pełnosprawne komputery. Jedna rzecz pozostawała jednak niezmienna: otwartość OS X i niemodyfikowalny przez osoby trzecie iOS.

Czas na zmiany. Czy na lepsze?

System Integrity Protection w El Capitan

Dotychczas w OS X, dostanie się z poziomu administratora do najważniejszych folderów, potrzebnych do prawidłowego działania systemu, było bardzo proste i ograniczało się do wejścia w katalog System w bibliotekach Finder’a. Dokładnie tak, jak w całej rodzinie UNIX’ów, wystarczyło tylko unikalne hasło root’a (administratora), by komputer nie miał przed nami tajemnic.

root

Wraz z wprowadzeniem przez Apple najnowszego OS X El Capitan, firma z Cupertino pozwoliła sobie dość mocno ograniczyć dostęp użytkowników do ich systemu.

Najnowsza funkcja, zwana oryginalnie System Integrity Protection (SIP, potocznie rootless), nie pozwala na jakiekolwiek modyfikacje niektórych plików systemowych oraz procesów przez aplikacje firm trzecich, ani nawet przez administratora systemu. Dostęp do nich mają tylko zaufane aplikacje dostępne w Mac App Store.

Wśród objętych ochroną lokalizacji znajdują się: /System, /bin, /sbin oraz /usr (ale nie /usr/local).

Co to oznacza dla „zwykłego użytkownika”? 

Jest to oczywiście krok w stronę bezpieczeństwa, polegający na uniemożliwieniu potencjalnie szkodliwym aplikacjom możliwości modyfikacji ważnych plików w naszym komputerze.

Tracą na tym jednak niektóre niezłośliwe programy firm trzecich, które nie są dostępne w Mac App Store. Rootless ogranicza im możliwość wpływania na findera, ingerencję w procesy, blokuje rozszerzenia modyfikujące działanie systemu i dodające funkcje.

Jak zapewne wiecie, wiele świetnego oprogramowania znajduje się poza App Store, a wśród nich właśnie takie, modyfikujące najważniejsze pliki komputera.

Jak wyłączyć System Integrity Protection i czy warto?

Zakładam, że większość użytkowników nawet nie zauważy tej zmiany, a ich komputer będzie jeszcze bezpieczniejszy. Dlatego jeśli nie eksplorujecie plików systemowych w swoich Macach, bezsensownym wydaje się wyłączanie SIP i narażanie się na niebezpieczeństwo.

Jeśli jednak chcecie mieć nieograniczony dostęp do wszystkich plików i procesów, żeby wyłączyć rootless wystarczy uruchomić komputer w trybie recovery (trzymając command i R przy starcie) i w sekcji Utilines, na pasku menu, wybrać Security Configuration oraz odznaczyć Enforce System Integrity Protection.

Jeśli w sekcji Utilines nie widnieje opcja Security Configurafion, należy otworzyć Findera, jeszcze w trybie awaryjnym i wpisać komendę csrutil disable oraz zrestartować komputer.

Apple zaznaczyło jednak, że łatwość wyłączenia rootless może ulec zmianie i możliwe jest, że za jakiś czas będzie to funkcja niedająca się wyłączyć.

El Capitan będzie publicznie dostępny „jesienią” (w poprzednich dwóch latach Apple udostępniało nowe wersje OS X w październiku).

Więcej o OS X El Capitan:

Podłącz się do Think Apple na TwitterzeFacebooku lub Google+ żeby nie przegapić żadnych informacji ze świata Apple.

Mateusz Majewski

Apple-user od 2008 roku. Uwielbiam macOS i staram się być obiektywny. Kameruję i fotografuję. Windsurfing, żeglarstwo, podróże.
Twitter: @add_mean

Link to our Facebook Page
Link to our Rss Page
Link to our Twitter Page
Link to our Youtube Page
  • Adam Miecznikowski

    „większość użytkowników nie zauważy” ??? nie zawuważy że nie może korzystać z dotychczasowego oprogramowania ??? że nie może zainstalować większości programów z sieci ??? 🙂 a może większość wyłączy SIP ?

  • Filip

    i Bardzo dobrze, coś co wydawałoby się kuriozalnym podejściem do kwestii systemu i zabezpieczeń iOS, MacOs tak naprawdę tylko działa na korzyść użytkowników Apple. Wieloetapowa weryfikacja programów i appec wrzucanych do AppStore, zamknięty i niemodyfikowalny system. Niech się reszta świata dostosuje do Apple a nie odwrotnie. Doskonały przykład otwartego i dziurawego jak ser androida, podejścia google i Microsoft woła o pomstę do nieba, ochrona prywatnych danych w tych firmach nie istnieje. Przykład uniwersalnego klucza do Windowsa, już nta łatka Microsoft nie może sobie albo niechce z tym poradzić. Dlatego walić sugestie typu „”większość użytkowników nie zauważy” ??? nie zawuważy że nie może
    korzystać z dotychczasowego oprogramowania ??? że nie może zainstalować
    większości programów z sieci ??? 🙂 a może większość wyłączy SIP ?” to są bzdury na miarę prania mózgów!!! Inni deweloperzy ze swoimi wypocinami niestety się muszą dostosować. Ja np mam dość syfu typu windows, windows mobile, android.
    Dlatego kocham Apple, za nieustepliwość i niegroteskowe myślenie.

Previous post:

Next post: