Hoe de bescherming van systeemintegriteit uit te schakelen (en waarom niet)
Elke nieuwe versie van Apple's desktopbesturingssysteem lijkt meer beperkingen te stellen aan gebruikers dan de vorige. System Integration Protection (of kortweg SIP) is misschien wel de grootste verandering ooit.
Geïntroduceerd in OS X 10.11 El Capitan, plaatst SIP beperkingen op de mogelijkheid van een gebruiker om bepaalde mappen helemaal te wijzigen. Terwijl sommigen de nieuwste beveiligingstechnologie van Apple afkeurden als middel om de controle over de gebruiker weg te nemen, is Apple's MacOS Rebrand meer dan alleen een naamswijziging? Is Apple's macOS Rebrand meer dan alleen een naamswijziging? Het laten vallen van de OS X-bijnaam, iets dat Apple al 15 jaar gebruikt, voelt als een groot probleem. Maar is het alleen de naam die verandert? Meer lezen, het is daar om een goede reden.
Er is weinig reden om het helemaal uit te schakelen (maar we laten je zien hoe, als je het echt wilt).
Wat is bescherming van systeemintegriteit?
SIP is een beveiligingsfunctie die is ontworpen om de meest kwetsbare delen van uw besturingssysteem te beschermen. Kortom, het voorkomt zelfs een gebruiker met root-toegang (door middel van de sudo
commando) van het wijzigen van bepaalde locaties op uw primaire partitie. Het is bedoeld om Mac-gebruikers veilig te houden, net als eerdere softwarebeperkingen geïntroduceerd door Gatekeeper. Wat is GateKeeper en hoe helpt het mijn Mac te beschermen? [MakeUseOf Explains] Wat is GateKeeper en hoe helpt het om mijn Mac te beschermen? [MakeUseOf Explains] Gaan uw favoriete programma's ooit nog een keer lopen? Bepaalde programma's worden niet meer geladen. In plaats daarvan wordt een bericht over Unidentified Developers weergegeven. Er is zelfs geen voor de hand liggende optie om de app te gebruiken. Gatekeeper is misschien gewoon ... Lees meer .
Dit is waarschijnlijk een antwoord op het toenemende aantal Mac-malware-bedreigingen 5 Eenvoudige manieren om je Mac te infecteren met malware 5 Eenvoudige manieren om je Mac te infecteren Met malware Waarschijnlijk is het behoorlijk moeilijk om je Mac met malware te infecteren, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer informatie die uw Mac in gevaar brengt. In tegenstelling tot de dagen waarop Apple op het “Ik ben een Mac en ik ben een pc” reclamelijn, de Mac en is nu een veel groter doelwit voor malware. Het is niet moeilijk om ransomware, spyware, keyloggers of gewoon oude adware te vinden die op het Apple-platform is gericht.
SIP beschermt een paar kerngebieden van de schijf waarop het besturingssysteem is geïnstalleerd, inclusief /Systeem
, / bin
, / sbin
, / usr
(maar niet / Usr / local
). Enkele symbolische links van /enz
, / tmp
, en / var
zijn ook beveiligd, hoewel de doelmappen zelf dat niet zijn. De veiligheidsmaatregel voorkomt dat processen zonder voldoende rechten (inclusief beheerders met root-toegang) naar deze mappen en de daarin opgeslagen bestanden schrijven.
De technologie voorkomt ook andere “riskant” ook operaties, zoals code-injectie. Apple is bezorgd dat wijzigingen in deze onderdelen van uw systeem uw Mac in gevaar kunnen brengen en schade kunnen toebrengen aan het besturingssysteem. Als u de toegang tot de rootbeheerder blokkeert, wordt uw Mac beveiligd tegen opdrachten op sudo-niveau die op afstand en lokaal worden uitgevoerd.
Dus waarom uitschakelen?
Toen de functie voor het eerst werd geïntroduceerd, werkten sommige apps die vertrouwden op het aanpassen van bepaalde beveiligde systeemmappen of bestanden niet meer. In de regel zijn deze vrij “opdringerig” aanpassingen die de manier veranderen waarop veel kern-OS-elementen en first party-apps functioneren El Capitan betekent Het einde van Mac-thema's en dieptepunten in het systeem El Capitan betekent het einde van Mac-thema's en dieptepunten van het systeem Als je het leuk vindt om je Mac aan te passen, is Yosemite misschien de laatste versie van OS X die voor u werkt. En dat is jammer. Lees verder . Bepaalde back-up- en herstelhulpmiddelen en apps die specifiek het gedrag van andere apparaten behandelden, werden ook beïnvloed.
Als u software wilt gebruiken die afhankelijk is van een dergelijke wijziging om te werken, moet u SIP eerst uitschakelen. Er is geen manier om een uitzondering te maken voor een bepaalde app als deze niet over de vereiste rechten beschikt. Dit heeft geleid tot speculatie dat de verandering van invloed zal zijn op kleinere ontwikkelaars, die niet over de middelen beschikken om met Apple samen te werken om ervoor te zorgen dat hun software blijft functioneren.
Hoewel dit misschien waar is, zijn veel applicaties die in eerste instantie niet onder El Capitan zouden werken, nu herschreven om dit te doen. Barman is zo'n app, die een manier biedt om Mac-menubalkpictogrammen op te ruimen. Hoe je Mac-menubalk aan te passen en op te ruimen Hoe je Mac-menubalk kunt aanpassen en opruimen Niets doet OS X er rommeliger uitzien dan ongewenste menubalkpictogrammen. Lees verder . De originele barman werkt alleen met OS X 10.10 en lager, terwijl barman 2 werkt met El Capitan en hoger. Default Folder X is nog een tweak die is ontworpen om open en bewaar-dialogen te verbeteren die voor El Capitan en later volledig herschreven moesten worden. Het werkt nu perfect.
Niet alle apps hebben een complete herschrijving ondergaan en sommige hebben nog steeds SIP nodig om te kunnen worden uitgeschakeld. Gelukkig is dit vaak een tijdelijke regeling, zoals in het geval van Winclone. Deze oplossing voor het klonen en het back-uppen van Boot Camp 5 Lokale Mac-back-upoplossingen die geen Time Machine 5 zijn Lokale Mac-back-upoplossingen die geen Time Machine zijn Er bestaan veel Mac-back-upopties en veel van deze hebben functies die de standaardback-upapp van Apple zijn kan gewoon niet concurreren met. Meer lezen vereist dat de gebruiker SIP uitschakelt om naar beschermde gedeelten van de schijf te schrijven. De functie kan nadien opnieuw worden ingeschakeld.
SwitchResX is een andere dergelijke app waarvoor SIP moet worden uitgeschakeld. Het biedt verbeterde controle over externe beeldschermen, die afhankelijk is van een specifieke resolutie die wordt gespecificeerd in een beveiligd bestand. Nadat het display is geconfigureerd, kan de gebruiker SIP herstellen totdat ze een nieuwe wijziging moeten aanbrengen. Andere apps zoals XtraFinder (en veel meer toepassingen die het uiterlijk en de functionaliteit van Finder wijzigen) vereisen dat de functie wordt ingeschakeld met een oplossing voor het injecteren van code (met behulp van het commando csrutil enable --zonder foutopsporing
).
Vanwege de verandering zijn sommige apps helemaal gestopt met ontwikkelen. Anderen gaan weg met het adviseren van gebruikers om SIP tijdelijk uit te schakelen en vervolgens opnieuw in te schakelen. De sleutel hier is om moe te zijn van apps die het uiterlijk of gedrag van je systeem wijzigen, een ingebouwde app of functie (zoals Finder, Spotlight of het dock), voordat je koopt. Veel van de tijd is een snelle Google-zoekopdracht of een blik op de FAQ voldoende.
Hoe de bescherming van systeemintegriteit uit te schakelen
Als u besluit SIP uit te schakelen, moet u er rekening mee houden dat uw Mac technisch net zo veilig is als toen u OS X 10.10 Mavericks draaide. U moet nog steeds roottoegang opgeven om naar bepaalde gedeelten van de schijf te schrijven, waarvoor beheerdersbevoegdheden nodig zijn. Het is ook mogelijk om SIP eenvoudig opnieuw in te schakelen als u besluit dit later te doen.
Meest Mac-gebruikers hebben nooit de noodzaak om SIP uit te schakelen. Het is ook de moeite waard om de functie ingeschakeld te laten tenzij je een horde tegenkomt. Als u wijzigingen in een beschermde map moet aanbrengen of software moet gebruiken die niet de rechten heeft om dit te doen, moet u het volgende doen:
- Start je Mac opnieuw op door links op het Apple-logo te klikken en te kiezen Herstarten.
- Houd ingedrukt Command + R terwijl je Mac opstart om de herstelmodus te betreden.
- Zodra je Mac is opgestart, ga je naar nutsbedrijven en start Terminal.
- Type
csrutil uitschakelen
en druk op invoeren. - Herstart je Mac zoals normaal.
Helemaal klaar! U kunt de functie eenvoudig opnieuw inschakelen door terug te starten in de herstelmodus, te starten Terminal en typen csrutil duidelijk
gevolgd door Enter.
Heb je SIP uitgeschakeld?
Misschien ben je bereid om je kansen te wagen en SIP uit te schakelen. Misschien heb je liever dat Apple niet dicteert wat je wel en niet kunt veranderen. Misschien vereist een app dat SIP wordt uitgeschakeld. Of u bent iemand die van het systeem geniet. Als je de functie hebt uitgeschakeld, horen we graag waarom.
Door System Integrity Protection uit te schakelen, kon ik chmod -x Siri gebruiken, waardoor mijn probleem dat het opdook telkens veranderde wanneer ik op mijn headset btn drukte
- Brian van Santana ft (@brianloveswords) 28 november 2016
Er is weinig reden om de functie uit te schakelen totdat u vindt dat dit nodig is. Houd er rekening mee dat als u MacOS opnieuw installeert, de functie waarschijnlijk opnieuw wordt ingeschakeld. Het is ook waarschijnlijk dat Apple beveiligingsfuncties en machtigingen voor meldingen blijft introduceren bij elke nieuwe macOS-release.
SIP of niet SIP? Laat het ons weten in de comments hieronder.
Afbeelding: Issarawat Tattong via Shutterstock.com
Meer informatie over: Anti-Malware, Computerbeveiliging, macOS Sierra, OS X El Capitan.