Hoe de bescherming van systeemintegriteit uit te schakelen (en waarom niet)

Er zijn meer redenen om de systeemintegriteitsbescherming van macOS aan te laten staan ​​dan om het uit te schakelen, maar het is eenvoudig om het uit te schakelen.

Er zijn meer redenen om de systeemintegriteitsbescherming van macOS aan te laten staan ​​dan om het uit te schakelen, maar het is eenvoudig om het uit te schakelen.
Advertentie

Elke nieuwe versie van Apple's desktopbesturingssysteem lijkt meer beperkingen te stellen aan gebruikers dan de vorige. System Integration Protection (of kortweg SIP) is misschien wel de grootste verandering ooit.

Geïntroduceerd in OS X 10.11 El Capitan, plaatst SIP beperkingen op de mogelijkheid van een gebruiker om bepaalde mappen helemaal te wijzigen. Terwijl sommigen de nieuwste beveiligingstechnologie van Apple afkeurden als middel om de controle over de gebruiker weg te nemen, is Apple's MacOS Rebrand meer dan alleen een naamswijziging? Is Apple's macOS Rebrand meer dan alleen een naamswijziging? Het laten vallen van de OS X-bijnaam, iets dat Apple al 15 jaar gebruikt, voelt als een groot probleem. Maar is het alleen de naam die verandert? Meer lezen, het is daar om een ​​goede reden.

Er is weinig reden om het helemaal uit te schakelen (maar we laten je zien hoe, als je het echt wilt).

Wat is bescherming van systeemintegriteit?

SIP is een beveiligingsfunctie die is ontworpen om de meest kwetsbare delen van uw besturingssysteem te beschermen. Kort gezegd, het voorkomt zelfs dat een gebruiker met root-toegang (door middel van de opdracht sudo ) bepaalde locaties op uw primaire partitie wijzigt. Het is bedoeld om Mac-gebruikers veilig te houden, net als eerdere softwarebeperkingen geïntroduceerd door Gatekeeper. Wat is GateKeeper en hoe helpt het mijn Mac te beschermen? [MakeUseOf Explains] Wat is GateKeeper en hoe helpt het mijn Mac te beschermen? [MakeUseOf Explains] Gaan uw favoriete programma's ooit nog een keer lopen? Bepaalde programma's worden niet meer geladen. In plaats daarvan wordt een bericht over Unidentified Developers weergegeven. Er is zelfs geen voor de hand liggende optie om de app te gebruiken. Gatekeeper is misschien gewoon ... Lees meer.

Dit is waarschijnlijk een antwoord op het groeiende aantal Mac-malware-bedreigingen 5 Eenvoudige manieren om je Mac te infecteren met malware 5 Eenvoudige manieren om je Mac te infecteren Met malware Waarschijnlijk is het behoorlijk moeilijk om je Mac met malware te infecteren, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer informatie die uw Mac in gevaar brengt. In tegenstelling tot de tijd dat Apple op de "I'm a Mac, and I'm a PC" -reclamerijn vertrouwde, is de Mac nu een veel groter doelwit voor malware. Het is niet moeilijk om ransomware, spyware, keyloggers of gewoon oude adware te vinden die op het Apple-platform is gericht.

mac el capitan

SIP beschermt een paar kerngebieden van de schijf waarop het besturingssysteem is geïnstalleerd, inclusief /System, /bin, /sbin, /usr (maar niet /usr/local ). Sommige symbolische links van /etc, /tmp en /var zijn ook beveiligd, hoewel de doelmappen zelf dat niet zijn. De veiligheidsmaatregel voorkomt dat processen zonder voldoende rechten (inclusief beheerders met root-toegang) naar deze mappen en de daarin opgeslagen bestanden schrijven.

De technologie voorkomt ook andere "risicovolle" operaties, zoals code-injectie. Apple is bezorgd dat wijzigingen in deze onderdelen van uw systeem uw Mac in gevaar kunnen brengen en schade kunnen toebrengen aan het besturingssysteem. Als u de toegang tot de rootbeheerder blokkeert, wordt uw Mac beveiligd tegen opdrachten op sudo-niveau die op afstand en lokaal worden uitgevoerd.

Dus waarom uitschakelen?

Toen de functie voor het eerst werd geïntroduceerd, werkten sommige apps die vertrouwden op het aanpassen van bepaalde beveiligde systeemmappen of bestanden niet meer. In de regel zijn dit nogal "opdringerige" aanpassingen die de manier waarop veel belangrijke OS-elementen en first party-apps werken veranderen. El Capitan betekent Het einde van Mac-thema's & Diepe systeem-aanpassingen El Capitan betekent het einde van Mac-thema's en dieptepunten van het systeem Als u zoals het aanpassen van je Mac, Yosemite is misschien wel de laatste versie van OS X die voor jou werkt. En dat is jammer. Lees verder . Bepaalde back-up- en herstelhulpmiddelen en apps die specifiek het gedrag van andere apparaten behandelden, werden ook beïnvloed.

Als u software wilt gebruiken die afhankelijk is van een dergelijke wijziging om te werken, moet u SIP eerst uitschakelen. Er is geen manier om een ​​uitzondering te maken voor een bepaalde app als deze niet over de vereiste rechten beschikt. Dit heeft geleid tot speculatie dat de verandering van invloed zal zijn op kleinere ontwikkelaars, die niet over de middelen beschikken om met Apple samen te werken om ervoor te zorgen dat hun software blijft functioneren.

standaardmap x sip

Hoewel dit misschien waar is, zijn veel applicaties die in eerste instantie niet onder El Capitan zouden werken, nu herschreven om dit te doen. Barman is een dergelijke app, die een manier biedt om Mac-menubalkpictogrammen op te ruimen. Hoe je Mac-menubalk aan te passen en op te ruimen Hoe je Mac-menubalk kunt aanpassen en opruimen Niets maakt dat OS X er rommeliger uitziet dan ongewenste menubalkpictogrammen. Lees verder . De originele barman werkt alleen met OS X 10.10 en lager, terwijl barman 2 werkt met El Capitan en hoger. Default Folder X is nog een tweak die is ontworpen om open en bewaar-dialogen te verbeteren, die voor El Capitan en later volledig herschreven moesten worden. Het werkt nu perfect.

Niet alle apps hebben een complete herschrijving ondergaan en sommige hebben nog steeds SIP nodig om te kunnen worden uitgeschakeld. Gelukkig is dit vaak een tijdelijke regeling, zoals in het geval van Winclone. Deze oplossing voor het klonen en het back-uppen van Boot Camp 5 Lokale Mac-back-upoplossingen die geen Time Machine 5 zijn Lokale Mac-back-upoplossingen die geen Time Machine zijn Er bestaan ​​veel Mac-back-upopties en veel van deze hebben functies die de standaardback-upapp van Apple zijn kan gewoon niet concurreren met. Meer lezen vereist dat de gebruiker SIP uitschakelt om naar beschermde gedeelten van de schijf te schrijven. De functie kan nadien opnieuw worden ingeschakeld.

xtra finder sip

SwitchResX is een andere dergelijke app waarvoor SIP moet worden uitgeschakeld. Het biedt verbeterde controle over externe beeldschermen, die afhankelijk is van een specifieke resolutie die wordt gespecificeerd in een beveiligd bestand. Nadat het display is geconfigureerd, kan de gebruiker SIP herstellen totdat ze een nieuwe wijziging moeten aanbrengen. Andere apps zoals XtraFinder (en veel meer applicaties die het uiterlijk en de functionaliteit van Finder wijzigen) vereisen dat de functie wordt ingeschakeld met een oplossing voor het injecteren van code (met behulp van de opdracht csrutil enable --without debug ).

Vanwege de verandering zijn sommige apps helemaal gestopt met ontwikkelen. Anderen gaan weg met het adviseren van gebruikers om SIP tijdelijk uit te schakelen en vervolgens opnieuw in te schakelen. De sleutel hier is om moe te zijn van apps die het uiterlijk of gedrag van je systeem wijzigen, een ingebouwde app of functie (zoals Finder, Spotlight of het dock), voordat je koopt. Veel van de tijd is een snelle Google-zoekopdracht of een blik op de FAQ voldoende.

Hoe de bescherming van systeemintegriteit uit te schakelen

Als u besluit SIP uit te schakelen, moet u er rekening mee houden dat uw Mac technisch net zo veilig is als toen u OS X 10.10 Mavericks draaide. U moet nog steeds roottoegang opgeven om naar bepaalde delen van de schijf te schrijven, waarvoor beheerdersbevoegdheden nodig zijn. Het is ook mogelijk om SIP eenvoudig opnieuw in te schakelen als u besluit dit later te doen.

De meeste Mac-gebruikers hebben nooit de noodzaak om SIP uit te schakelen. Het is ook de moeite waard om de functie ingeschakeld te laten tenzij je een horde tegenkomt. Als u wijzigingen in een beschermde map moet aanbrengen of software moet gebruiken die niet de rechten heeft om dit te doen, moet u het volgende doen:

  1. Start je Mac opnieuw op door links op het Apple-logo te klikken en Opnieuw opstarten te kiezen.
  2. Houd Command + R ingedrukt terwijl je Mac opstart om naar de herstelmodus te gaan.
  3. Zodra je Mac is opgestart, ga je naar Hulpprogramma's en start je Terminal .
  4. Typ csrutil disable en druk op Enter .
  5. Herstart je Mac zoals normaal.

Helemaal klaar! U kunt de functie eenvoudig opnieuw inschakelen door terug te keren naar de herstelmodus, Terminal te starten en csrutil clear typen gevolgd door Enter.

Heb je SIP uitgeschakeld?

Misschien ben je bereid om je kansen te wagen en SIP uit te schakelen. Misschien heb je liever dat Apple niet dicteert wat je wel en niet kunt veranderen. Misschien vereist een app dat SIP wordt uitgeschakeld. Of u bent iemand die van het systeem geniet. Als je de functie hebt uitgeschakeld, horen we graag waarom.

Door System Integrity Protection uit te schakelen, kon ik chmod -x Siri gebruiken, waardoor mijn probleem dat het opdook telkens veranderde wanneer ik op mijn headset btn drukte

- Brian van Santana ft (@brianloveswords) 28 november 2016

Er is weinig reden om de functie uit te schakelen totdat u vindt dat dit nodig is. Houd er rekening mee dat als u MacOS opnieuw installeert, de functie waarschijnlijk opnieuw wordt ingeschakeld. Het is ook waarschijnlijk dat Apple beveiligingsfuncties en machtigingen voor meldingen blijft introduceren bij elke nieuwe macOS-release.

SIP of niet SIP? Laat het ons weten in de comments hieronder.

Afbeelding: Issarawat Tattong via Shutterstock.com

In this article