Как отключить защиту целостности системы (без root-доступа) в Mac OS X

Apple включила новую ориентированную на безопасность по умолчанию функцию под названием Защита целостности системы, часто называемую без корневого доступа или SIP, в Mac OS начиная с версии 10.11. Функция SIP / rootless предназначена для предотвращения взлома Mac OS X вредоносным кодом, намеренно или случайно, и, по сути, то, что делает SIP, – это блокировка определенных местоположений системного уровня в файловой системе, одновременно предотвращая подключение определенных процессов к процессам системного уровня. .

Хотя функция защиты целостности системы эффективна, и подавляющему большинству пользователей Mac следует оставить без root-доступа включенным, некоторые продвинутые пользователи Mac могут счесть, что отсутствие root-доступа является чрезмерно защитным. Таким образом, если вы находитесь в группе продвинутых пользователей Mac, которые не хотят, чтобы SIP без root-доступа был включен в их установку Mac OS X, мы покажем вам, как отключить эту функцию безопасности.

Какие каталоги защищает SIP?

Прежде чем приступить к отключению SIP, вам может быть интересно, какие каталоги SIP / rootless защищает от модификации. В настоящее время защита целостности системы блокирует следующие каталоги системного уровня в Mac OS X:

/System
/sbin
/bin
/usr (with the exception of /usr/local subdirectory)
/Applications for apps that are preinstalled with Mac OS (Terminal, Safari, etc)

Соответственно, rootless может привести к тому, что некоторые приложения, утилиты и скрипты не будут работать вообще, даже если sudo privelege, root-пользователь включен или доступ администратора.

Отключение защиты целостности системы без рута в Mac OS X

Опять же, подавляющее большинство пользователей Mac не должны отключать rootless. Отключение rootless нацелено исключительно на опытных пользователей Mac. Делайте это на свой страх и риск, это особо не рекомендуется.

1. Перезагрузите Mac и одновременно удерживая клавиши Command + R после звукового сигнала запуска, Mac OS X загрузится в режим восстановления.
2. Когда появится экран «Утилиты MacOS» / «Утилиты OS X», вместо этого откройте меню «Утилиты» в верхней части экрана и выберите «Терминал».
3. Введите в терминал следующую команду и нажмите return:

csrutil disable; reboot

4. Вы увидите сообщение о том, что защита целостности системы отключена, и Mac необходимо перезагрузить, чтобы изменения вступили в силу, а затем Mac автоматически перезагрузится, просто позвольте ему загрузиться как обычно.

Вы также можете выполнить команду отдельно без автоматической перезагрузки, например:

csrutil disable

Кстати, если вы заинтересованы в отключении rootless, вы также можете отключить Gatekeeper, пока вы находитесь в командной строке.

Если вы планируете сделать что-то еще на экране «Терминал» или «Утилиты Mac OS», вы можете в конце не включать команду автоматической перезагрузки, и да, если вам интересно, это тот же режим восстановления, который используется для переустановки Mac OS. X с Интернет-восстановлением.

Как только Mac снова загрузится, защита целостности системы будет полностью отключена в Mac OS X, тем самым предоставив полный доступ к защищенным папкам, описанным выше.

Проверка статуса защиты без рута / целостности системы в Mac OS X

Если вы хотите узнать статус rootless перед перезагрузкой или без перезагрузки Mac в режим восстановления, просто введите следующую команду в Терминал:

csrutil status

Вы увидите одно из двух сообщений, включенных indi:

$ csrutil status
Состояние защиты целостности системы: включено.

или же

$ csrutil status
Состояние защиты целостности системы: отключено

Если в любой момент вы захотите изменить статус rootless, потребуется еще одна перезагрузка в режиме восстановления.

Как повторно включить защиту целостности системы без рута в Mac OS X

Просто перезагрузите Mac еще раз в режиме восстановления, как указано выше, но вместо этого в командной строке используйте следующий синтаксис:

csrutil enable

Как и раньше, для того, чтобы изменения вступили в силу, требуется перезагрузка Mac.

Как указывалось ранее, подавляющему большинству пользователей Mac следует оставить без root-доступа включенным и принять защиту целостности системы, поскольку большинство пользователей Mac OS X в любом случае не имеют дела с каталогами системного уровня. Настройка этой функции действительно нацелена на продвинутых пользователей Mac, будь то ИТ-специалисты, системные администраторы, сетевые администраторы, разработчики, мастера по ремонту, службы безопасности и другие связанные высокотехнологичные области.