Dlaczego nie należy wyłączać Ochrony integralności systemu na komputerze Mac?

Wydaje się, że każda nowa wersja systemu operacyjnego Apple dla komputerów stacjonarnych nakłada na użytkowników więcej ograniczeń niż poprzednia wersja. Ochrona integracji systemu - Ochrona integracji systemu (lub SIP) może być największą zmianą.

Po wprowadzeniu w systemie OS X 10.11 El Capitan protokół SIP ograniczył użytkownikom możliwość modyfikowania niektórych folderów. Choć niektórzy potępiają najnowszą technologię zabezpieczeń Apple jako sposób na kontrolowanie użytkowników, okazuje się, że nie bez powodu.

Istnieje bardzo niewiele powodów, aby wyłączyć tę funkcję. Dowiemy się tego z poniższego artykułu.

Co to jest ochrona integracji systemu (SIP)?

SIP to funkcja bezpieczeństwa zaprojektowana w celu ochrony najbardziej wrażliwych części systemu operacyjnego. Krótko mówiąc, uniemożliwia nawet użytkownikowi z uprawnieniami roota (za pomocą polecenia sudo) modyfikowanie niektórych lokalizacji na partycji głównej. Ma na celu zapewnienie bezpieczeństwa użytkownikom komputerów Mac, podobnie jak poprzednie ograniczenia oprogramowania wprowadzone przez Gatekeepera.

Może to być odpowiedź na rosnącą liczbę zagrożeń złośliwym oprogramowaniem. Komputery Mac są obecnie dużym celem złośliwego oprogramowania. Nie jest trudno znaleźć oprogramowanie ransomware , oprogramowanie szpiegujące, programy rejestrujące naciśnięcia klawiszy lub zwykłe stare oprogramowanie reklamowe atakujące platformy Apple.

Protokół SIP chroni kilka podstawowych obszarów dysku, na którym jest zainstalowany system operacyjny, w tym /System, /bin, /sbin, /usr (ale nie /usr/local). Niektóre dowiązania symboliczne z /etc, /tmp i /var są również chronione, chociaż katalogi docelowe nie są. Środki bezpieczeństwa uniemożliwiają procesom bez wystarczających uprawnień (w tym użytkownikom administracyjnym z dostępem root) zapisywanie w tych katalogach i przechowywanych w nich plikach.

Technologia ta zapobiega także innym „ryzykownym” działaniom. Apple obawia się, że zmiany wprowadzone w tych częściach systemu mogą narazić komputer Mac na ryzyko i spowodować uszkodzenie systemu operacyjnego. Zablokowanie dostępu administratora root chroni komputer Mac przed lokalnie i zdalnie wykonywanymi poleceniami na poziomie sudo.

Dlaczego więc użytkownicy chcą wyłączyć tę funkcję?

Kiedy ta funkcja została wprowadzona po raz pierwszy, niektóre aplikacje polegające na modyfikowaniu niektórych chronionych folderów lub plików systemowych przestały działać. Z reguły są to modyfikacje „natrętne”, zmieniające sposób działania wielu podstawowych elementów systemu operacyjnego i aplikacji własnych. Dotyczy to również niektórych narzędzi do tworzenia kopii zapasowych i przywracania danych oraz aplikacji, które są przetwarzane w sposób specyficzny w wyniku działania innych urządzeń.

Jeśli chcesz używać oprogramowania, którego działanie zależy od modyfikacji, musisz najpierw wyłączyć SIP. Nie ma możliwości utworzenia wyjątku dla danej aplikacji, jeśli ta aplikacja nie ma wymaganych uprawnień. Doprowadziło to do spekulacji, że zmiana dotknie mniejszych programistów, którym brakuje środków do współpracy z Apple, aby zapewnić dalsze działanie ich oprogramowania.

Chociaż może to być prawdą, wiele aplikacji, które pierwotnie nie działały na El Capitanie, zostało przepisanych, aby dostosować się do tego systemu operacyjnego. Barman jest taką aplikacją. Jest to sposób na oczyszczenie ikon paska menu komputera Mac. Oryginalny Bartender działa tylko z systemem OS X 10.10 i starszym, podczas gdy Bartender 2 działa z El Capitan i nowszymi. Default Folder X, kolejna aplikacja zaprojektowana w celu ulepszenia okien dialogowych Otwórz i Zapisz, została całkowicie przepisana dla wersji El Capitan i nowszych. Teraz działa całkiem idealnie.

Nie wszystkie aplikacje zostały całkowicie przepisane, a niektóre aplikacje nadal muszą wyłączyć SIP, aby działać. Na szczęście jest to zwykle tylko tymczasowe, jak w przypadku Winclone. To rozwiązanie do klonowania i tworzenia kopii zapasowych Boot Camp wymaga od użytkowników wyłączenia protokołu SIP w celu zapisu w chronionych obszarach dysku. Tę funkcję można ponownie włączyć później.

SwitchResX to kolejna aplikacja wymagająca wyłączenia protokołu SIP. Zapewnia zaawansowaną kontrolę nad wyświetlaczami zewnętrznymi w oparciu o określoną rozdzielczość określoną w chronionym pliku. Po skonfigurowaniu monitora użytkownicy mogą przywrócić protokół SIP do czasu wprowadzenia kolejnej zmiany. Inne aplikacje, takie jak XtraFinder (i wiele innych aplikacji zmieniających wygląd i funkcjonalność Findera) wymagają włączenia tej funkcji podczas debugowania za pomocą polecenia csrutil Enable --without debug.

Z powodu tej zmiany rozwój niektórych aplikacji został całkowicie wstrzymany. Inne aplikacje jedynie tymczasowo wyłączają protokół SIP, a następnie włączają go ponownie. Najważniejsze jest to, że bardzo denerwujące jest, gdy aplikacje muszą modyfikować interfejs lub zachowanie systemu lub zintegrowanej funkcji (takiej jak Finder, Spotlight lub stacja dokująca), zanim dotrą do konsumentów. W większości przypadków wystarczy szybkie wyszukiwanie w Google lub szybkie spojrzenie na FAQ.

Jak wyłączyć SIP?

Jeśli zdecydujesz się wyłączyć SIP, pamiętaj, że Twój Mac jest technicznie tak samo bezpieczny, jak gdybyś korzystał z systemu OS X 10.10 Mavericks. Nadal będziesz musiał zapewnić uprawnienia administratora, aby móc pisać w niektórych obszarach dysku lub żądać uprawnień administracyjnych. Możesz także łatwo ponownie włączyć SIP, jeśli zdecydujesz się to zrobić później.

Większość użytkowników komputerów Mac nigdy nie będzie musiała wyłączać protokołu SIP. Dodatkowo powinieneś pozostawić tę funkcję włączoną, chyba że napotkasz przeszkody. Jeśli chcesz wprowadzić zmiany w chronionym folderze lub korzystać z oprogramowania bez uprawnień, oto co zrobić, aby wyłączyć SIP:

1. Uruchom ponownie komputer Mac, klikając ikonę Apple w lewym górnym rogu i wybierając opcję Uruchom ponownie .
2. Przytrzymaj Command+R podczas uruchamiania komputera Mac, aby przejść do trybu odzyskiwania .
3. Po uruchomieniu komputera Mac przejdź do opcji Narzędzia i uruchom Terminal .
4. Wpisz csrutil wyłącz i naciśnij Enter .
5. Uruchom ponownie komputer Mac w zwykły sposób.

Wszystko gotowe! Możesz łatwo ponownie włączyć tę funkcję, uruchamiając ponownie komputer w trybie odzyskiwania , uruchamiając Terminal i wpisując csrutil clear , a następnie naciskając Enter .

Wyłączyłeś SIP?

Może chcesz zaryzykować i wyłączyć SIP. Być może nie chcesz, aby Apple dyktował Ci, co możesz, a czego nie możesz zmienić. Aplikacja może poprosić o wyłączenie protokołu SIP lub jesteś fanem ulepszania systemu. Jeśli wyłączyłeś tę funkcję, chętnie dowiemy się, dlaczego.

Nie ma powodu, aby wyłączać tę funkcję, chyba że jest to absolutnie konieczne. Pamiętaj, że ponowna instalacja systemu macOS prawdopodobnie ponownie włączy tę funkcję. Jest również prawdopodobne, że Apple będzie nadal wprowadzać funkcje bezpieczeństwa i kontrolę uprawnień w każdej nowej wersji systemu macOS.

Zobacz więcej:

• Bezpieczne usługi sieciowe dla komputerów Mac
• Szyfruj dyski zewnętrzne w systemie Mac OS X Lion
• Wskazówki zwiększające bezpieczeństwo systemu Mac OS X