Mac作為一款防病毒電腦的黃金時代已經結束,惡意軟體已經成為蘋果公司需要解决的一個嚴重問題,如果蘋果公司希望能夠遵守它向用戶發出的資訊:蘋果非常重視你的私隱。
雖然macOS依賴多種安全措施來提供數據免受惡意軟體的侵害,但在任何Mac上仍然有一個超級用戶能够根除所有這些。當您“掌握”Mac時,你就可以完全控制電腦了,這還包括關閉電腦上所有安全措施的功能。為了保護Mac不受流氓超級用戶的侵害,蘋果公司現在通過實施一種稱為系統完整性保護(SystemIntegrityProtection,簡稱SIP)的新安全層來限制這些根許可權。
什麼是系統完整性保護(System Integrity Protection)?
SIP是一個新的安全層,用於保護作業系統免受惡意軟體攻擊,2015年由蘋果公司與macOS(當時的OS X)10.10 El Capitan共同推出。SIP位於MacOS 10.10之前啟用的其他安全層之上。這些是:
- Gatekeeper(閘道守護者),它是安全的第一層,具有封锁不受信任的程式碼應用程式啟動的作用。
- 沙盒,它限制應用程式對用戶數據的訪問,除了那些實際授予它的數據。
- POSIX許可權方案,也就是說,如果應用程式受到攻擊,駭客通過前兩層,那麼他或她只擁有授予特定用戶的許可權。換句話說,標準用戶將無法訪問根用戶擁有的系統範圍配置設定。
- 最後是鑰匙鏈,其中存儲應用程式、服務器和線上帳戶的帳戶名和密碼。金鑰鏈數據受Mac使用者帳戶密碼保護。
雖然乍一看這個保護機制看起來很安全,但它存在一些問題:當應用程式運行時,Gatekeeper不會阻止應用程式在運行時執行任何操作,也不會保護安裝在電腦上的macOS。其次,沙盒只是macOS的一個可選特性,這意味著系統進程在沙箱中實際運行並不是一個本機的需求。
雖然有共享的Mac,但大多數蘋果電腦實際上是單用戶系統,囙此運行該系統的用戶是管理員帳戶。這意味著根帳戶(具有超級用戶許可權)和整個作業系統只受一個通常較弱的密碼保護。
我們不要忘記人為因素:如果軟體要求輸入密碼,用戶很可能會提供密碼。換言之,蘋果需要解決這一巨大的安全風險,這就是它引入SIP時所做的。
SIP是做什麼的?
超級用戶的權力如果用於惡意目的就會成為嚴重威脅,囙此蘋果已經决定“保護系統”不受根函數的影響。SIP本質上是一個應用於整個系統的安全性原則,其目的是防止協力廠商修改系統檔案和行程。為此,該公司設計了SIP來:
- 防止除蘋果以外的各方修改存儲在特定目錄中的目錄和檔案。
- 限制多個系統調用的功能。
- 封锁安裝未簽名的內核擴展。
定位SIP配置
由於蘋果已經從超級用戶手中奪走了權力,它無法在作業系統中實現這種安全措施,因為超級用戶是作業系統的一部分。這就是為什麼蘋果必須將SIP配置存儲在NVRAM中而不是檔案系統中的原因。只有在Mac啟動到macOS安裝程式或macOS恢復環境時,才能配置SIP。
在NVRAM中存儲SIP配置有兩個優點:第一,它適用於整個系統;第二,即使重新安裝了macOS,它仍然保持原樣。Mac仍然受到超級用戶的保護。
為什麼要禁用SIP?
打開SIP後,高級Mac用戶無法使用終端命令訪問受限區域,例如删除“sleepImage”。在早期版本的macOS中,這些命令使用超級用戶的强大功能很容易執行。因此,那些希望完全訪問系統的人會發現安全措施不舒服,因此對於這些用戶來說,禁用它並要求完全控制機器是有意義的。
如何禁用SIP
csrutil disable”,然後按Return鍵。如果决定重新啟用SIP,可以按照上面的步驟進行操作,但不要鍵入“csrutil disable”,而是鍵入“csrutil enable”命令。
我們強烈建議不要禁用SIP,因為它是Apple為保護Mac免受惡意軟體攻擊而實施的一項偉大的安全措施。不過,這是你的决定,你是否選擇讓你的Mac保持警惕。可以禁用SIP,删除SleepImage,然後重新啟用SIP以保護您的Mac不受惡意軟體的攻擊。