Что нужно знать пользователям Mac о El Capitan Security

Пользователи Mac: OS X 10.11 El Capitan уже здесь, и это здорово

, Большинство пользователей получат заметное повышение производительности, и появятся некоторые (относительно незначительные) новые функции.

Но какое самое большое изменение Apple произвела на этот раз? Безопасность. OS X теперь настолько заблокирована, что даже пользователи root не могут изменять операционную систему — давайте рассмотрим, что это значит, не так ли?

Защита целостности системы: у Root здесь нет питания

Помните этот старый мультфильм?

сэндвич

Не понимаю? Ну, во многих UNIX-подобных системах — включая OS X — команда Судо обозначает суперпользователя. Помещение «sudo» перед командой, предполагая, что ваша учетная запись пользователя является администратором, позволяет вам делать вещи, которые вы не можете сделать иначе.

По сути, если вы суперпользователь, вы можете делать что угодно — если, конечно, вы не управляете El Capitan. В этой версии OS X вы не можете редактировать основные системные файлы, независимо от того, являетесь ли вы пользователем root.

Это из-за защиты целостности системы (SIP) — иногда называется без корней — новая функция, которая означает, что пользователи и стороннее программное обеспечение, включая вредоносные программы, не могут изменять системные системные файлы.

Подводя итог, SIP означает, что:

  • Базовые системные файлы не могут быть перезаписаны даже пользователями root.
  • Внедрение кода в защищенные процессы больше не разрешено системой.
  • Только подписанные расширения ядра могут работать — без исключений.

Основная идея здесь заключается в том, что если вы не можете изменить эти основные файлы, ни вредоносные программы, ни хакеры. Но есть некоторые потенциальные недостатки, особенно если вы тот пользователь, который любит взламывать или настраивать вещи.

Системные каталоги не могут быть отредактированы

В El Capitan содержимое определенных папок не может быть изменено пользователем или любой другой программой, которую пользователь может запустить. Какие папки?

  • / System
  • / бен
  • / usr (кроме «/ usr / local»)
  • / SBIN

Тестирование это просто: голова к Терминал и попробуйте создать новый каталог в / System. Это не сработает:

системы целостности защитно-макинтош

Это означает, что вы и любые программы, которые вы можете выбрать для запуска, не можете вносить какие-либо изменения в OS X — даже если вы являетесь пользователем root, и даже если вы вводите свой пароль. Это также означает, что вредоносные программы и хакеры не могут ничего изменить в этих папках..

Любое приложение, которое частично работало, внося изменения в эти папки, не будет работать в El Capitan, без остановки, без какого-либо обновления.

И это изменение имеет обратную силу, то есть, если вы когда-либо делали что-то для редактирования OS X, эти изменения будут отменены при обновлении до El Capitan — но вы можете восстановить все файлы и изменения, если хотите, они в / Library / SystemMigration.

Святой ад. Когда вы устанавливаете Mac OS X 10.11 «El Jefe», rootless перемещает кучу вещей в / Library / SystemMigration / У меня есть вещи с 2006 года!

— Розина Келлер (@rosyna) 21 сентября 2015 г.

Больше не нужно вводить вещи в память

Вы когда-нибудь использовали EasySIMBL, который позволяет настраивать практически все на вашем Mac

? Эта программа может добавить функциональность программам и самой OS X, и выполняет это путем внедрения кода в работающую в данный момент программу. Например: один плагин для EasySIMBL позволил официальному клиенту Twitter для Mac поддерживать встроенные изображения из Instagram, чего нет у него.

Это может быть действительно круто, но оно также использует точную методологию, которую использует множество распространенных вредоносных программ для совершения всевозможных неприятных действий. В Эль-Капитане это больше невозможно.

@ jolan78 @comex easysimbl не работает 10.10.3+. будущее в любом случае довольно безрадостное благодаря безродным (намеренно не легко отключить)

— ???? ?????? 3G? ??Икс ????? (@hbkirb) 22 августа 2015 г.

Это ломает такие вещи, как EasySIMBL и популярная система плагинов для Flashlight.

на El Capitan — но также предотвращает всевозможные теоретически возможные вредоносные программы.

Нет больше неподписанных расширений ядра

Расширения ядра — это части программного обеспечения, которые напрямую взаимодействуют с ядром системы. Большинство пользователей Mac, вероятно, никогда не установят расширение ядра, если им не нужны драйверы для какого-либо стороннего оборудования.

. @ZetesIndustries, пожалуйста, получите ваши драйверы для «самого продаваемого Eid Reader», подписанного для Mac OS. Безопасность важна. pic.twitter.com/nubvHiItTe

— Эндрю Фечейр (@andruby) 25 января 2015 г.

И теперь все расширения ядра, включая драйверы, должны быть подписаны для запуска. Это означает, что если вы используете аппаратное обеспечение с неподписанным драйвером, этот драйвер не будет загружаться в El Capitan — вашему устройству необходимо выпустить подписанный драйвер, иначе вы не сможете использовать свое оборудование.

Отключение SIP / Rootless в El Capitan

Эти изменения, без сомнения, улучшат безопасность, но некоторые люди считают, что потеря свободы не стоит.

Mac Os X El Capitan — это кошмар для разработчиков с реализацией без рутов

— Necromant2005 (@ necromant2005) 5 октября 2015 г.

Согласны ли вы с этими жалобами или просто полагаетесь на приложения или оборудование, которые не работают с включенным протоколом SIP, можно отключить эту функцию безопасности.

Защита целостности системы не может быть отключена из самой ОС: вам нужно загрузиться в OS X Recovery. Выключите свой Mac, затем удерживайте CMD + R, пока он запускается.

Что нужно знать пользователям Mac о El Capitan Security os x recovery

Как только система загрузит OS X Recovery, загрузите Терминал из меню, затем введите отключить csrutil и ударил Войти. Если позже вы захотите снова включить SIP / без root, повторите этот процесс, но введите csrutil enable в Терминале.

В качестве альтернативы, вы можете просто не установить El Capitan на некоторое время — вы можете получить отличные функции без обновления

тем не мение.

Другие различные исправления безопасности

SIP — не единственная новая функция безопасности в El Capitan — только самая заслуживающая внимания. Если хотите, вы можете прочитать длинный список обновлений безопасности OS X от Apple, но вот несколько важных моментов:

  • Много изменений в приложениях для защиты доступа Keychain.
  • Улучшены алгоритмы шифрования.
  • Изменения в EFI для предотвращения взлома всей системы.
  • Улучшенная форма двухфакторной аутентификации

    для пользователей iCloud.

Безопасность или свобода?

тьфу, необходимость выключить режим без root в el capitan, чтобы я мог заменить значки моего mac, кажется странной

— Зак Смит (@Zacitus) 24 июля 2015 г.

Я говорил о том, что новые функции безопасности El Capitan являются окончанием настройки Mac

и комментарии меня удивили — люди в основном говорили «И что?».

безродный-комментарий-заказ макинтош

Может быть, больше пользователей Mac согласны с этим: они скорее будут иметь функции безопасности, такие как SIP, чем возможность подправлять вещи. Я хочу знать, что вы думаете: есть ли здесь компромисс, и стоит ли это того? Давайте поговорим об этом в комментариях.

Авторы изображения: «Сэндвич», любезно предоставленный XKCD

Ссылка на основную публикацию
Adblock
detector