Mac OS X 10.11 El Capitan chrání systémové soubory a procesy novou funkcí nazvanou Ochrana integrity systému. SIP je vlastnost na úrovni jádra, která omezuje, co může účet "root" dělat.

Toto je skvělý bezpečnostní prvek a téměř všichni - dokonce i "mocní uživatelé" a vývojáři - by to měli nechat. Pokud však opravdu potřebujete upravit systémové soubory, můžete je obejít.

Co je ochrana integrity systému?

SOUVISEJÍCÍ: Co je Unix a proč to má záležitost?

V systému Mac OS X a dalších operačních systémech typu UNIX, včetně Linuxu, existuje "root" účet, který má tradičně plný přístup k celému operačnímu systému. Stažením kořenového uživatele - nebo získáním kořenových oprávnění - získáte přístup k celému operačnímu systému a možnost upravovat a mazat libovolný soubor. Malware, který získává kořenová oprávnění, může tyto oprávnění zneužít k poškození a infikování souborů na nižší úrovni operačního systému.

Zadejte své heslo do dialogového okna zabezpečení a přidělili jste oprávnění root. To tradičně umožňuje operačnímu systému dělat cokoli, ačkoli mnoho uživatelů Mac to nechápe.

Ochrana integrity systému - také známá jako "bez kořenů" - funguje tím, že omezuje kořenový účet. Vlastní jádro operačního systému zkontroluje přístup uživatele root a nedovolí mu dělat určité věci, jako je například úprava chráněných míst nebo kódování do chráněných systémových procesů. Všechna rozšíření jádra musí být podepsána a nemůžete zakázat ochranu systému integrity v rámci systému Mac OS X samotného. Aplikace se zvýšenou oprávněním kořenového adresáře již nemohou manipulovat se systémovými soubory.

Nejpravděpodobněji si to všimnete, pokud se pokoušíte zapisovat do jednoho z následujících adresářů:

• / System
• / bin
• usr
• / sbin

OS X to prostě nedovolí a zobrazí se zpráva "Operace není povolena". OS X také vám neumožní připojit jiné umístění přes jeden z těchto chráněných adresářů, takže to není nic.

Úplný seznam chráněných míst najdete na /System/Library/Sandbox/rootless.conf na vašem Mac. Zahrnuje soubory, jako jsou aplikace Mail.app a Chess.app, které jsou součástí systému Mac OS X, takže je nelze odstranit, a to ani z příkazového řádku jako uživatel root. To také znamená, že malware nemůže tyto aplikace měnit a infikovat.

Není náhodou možnost volby "oprávnění k opravě disků" v nástroji Disk Utility - dlouho používaná pro řešení potíží s různými potížemi systému Mac - byla nyní odstraněna. Ochrana integrity systému by měla zabránit tomu, aby rozhodující oprávnění k souborům byla poškozena. Disk Utility byl přepracován a stále má možnost "První pomoc" k opravě chyb, ale neobsahuje žádný způsob, jak opravit oprávnění.

Jak zakázat ochranu integrity systému

Upozornění : Nepokládejte máte k tomu dobrý důvod a přesně vědět, co děláte! Většina uživatelů nebude muset toto nastavení zabezpečení zakázat. Nemělo by to zabránit tomu, aby jste zablokovali systém - jejím účelem je zabránit tomu, aby malware a jiné špatně se chovající programy překážely systému. Některé nástroje s nízkou úrovní mohou fungovat pouze v případě, že mají neomezený přístup.

SOUVISEJÍCÍ: 8 Funkce systému Mac, které můžete získat v režimu obnovení

Nastavení ochrany systému integrity není uloženo v samotném systému Mac OS X . Místo toho je uložen v NVRAM na každém počítači Mac. Může být upraveno pouze z prostředí pro obnovení.

Chcete-li spustit režim obnovení, restartujte počítač Mac a přidržte příkaz Command + R při jeho spuštění. Vstupte do prostředí obnovy. Klepnutím na nabídku "Nástroje" vyberte "Terminal" a otevřete okno terminálu.

Zadejte do terminálu následující příkaz a stisknutím klávesy Enter zkontrolujte stav:

status csrutil

Uvidíte, zda systémová integrita Ochrana je povolena nebo není.

Chcete-li zakázat ochranu systému Integrity, spusťte následující příkaz:

csrutil deaktivovat

Pokud se rozhodnete, že chcete povolit SIP později, vraťte se do prostředí pro obnovení a spusťte následující příkaz:

csrutil enable

Restartujte Mac a nové nastavení System Integrity Protection se projeví. Uživatel root bude nyní mít úplný a neomezený přístup k celému operačnímu systému a každému souboru.

Pokud jste dříve měli soubory uložené v těchto chráněných adresářích předtím, než jste inovovali Mac na OS X 10.11 El Capitan, vymazána. Najdete je přesunut do adresáře / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / Macintosh

Image Credit: Shinji na Flickr

Nikdy nekupujte 40 dolarů HDMI kabely: nejsou o nic lepší než levné

Pokud jde o nastavení vašeho domácího mediálního centra, ať už je to skromný televizor se zvukovou lištou nebo 60 " 4K HDTV monstrum s prvotřídním prostorovým zvukem, spláchněte veškerou hotovost, kterou potřebujete na televizor a reproduktory, ale na HDMI kabelech netrefte více dolaru, než je třeba.

(how-top)

Použití tunelu SSH pro přístup k omezeným serverům a procházení bezpečně

Klient SSH se připojí k serveru Secure Shell, který umožňuje spouštět příkazy terminálu, jako byste seděli před jiným počítač. Ale klient SSH také umožňuje "tunelovat" port mezi místním systémem a vzdáleným SSH serverem. Existují tři různé typy SSH tunelování a všechny jsou použity pro různé účely. Každý zahrnuje použití serveru SSH k přesměrování provozu z jednoho síťového portu do jiného.

(how-top)