Mac作为一款防病毒电脑的黄金时代已经结束,恶意软件已经成为苹果公司需要解决的一个严重问题,如果苹果公司希望能够遵守它向用户发出的信息:苹果非常重视你的私隐。
虽然macOS依赖多种安全措施来提供数据免受恶意软件的侵害,但在任何Mac上仍然有一个超级用户能够根除所有这些。 当您“掌握”Mac时,你就可以完全控制电脑了,这还包括关闭电脑上所有安全措施的功能。 为了保护Mac不受流氓超级用户的侵害,苹果公司现在通过实施一种称为系统完整性保护(SystemIntegrityProtection,简称SIP)的新安全层来限制这些根权限。
什么是系统完整性保护(System Integrity Protection)?
SIP是一个新的安全层,用于保护操作系统免受恶意软件攻击,2015年由苹果公司与macOS(当时的OS X)10.10 El Capitan共同推出。 SIP位于MacOS 10.10之前启用的其他安全层之上。 这些是:
- Gatekeeper(网关守护者),它是安全的第一层,具有封锁不受信任的代码应用程序启动的作用。
- 沙盒,它限制应用程序对用户数据的访问,除了那些实际授予它的数据。
- POSIX权限方案,也就是说,如果应用程序受到攻击,黑客通过前两层,那么他或她只拥有授予特定用户的权限。 换句话说,标准用户将无法访问根用户拥有的系统范围配置设置。
- 最后是钥匙链,其中存储应用程序、服务器和线上账户的账户名和密码。 密钥链数据受Mac用户账户密码保护。
虽然乍一看这个保护机制看起来很安全,但它存在一些问题:当应用程序运行时,Gatekeeper不会阻止应用程序在运行时执行任何操作,也不会保护安装在电脑上的macOS。 其次,沙盒只是macOS的一个可选特性,这意味着系统进程在沙箱中实际运行并不是一个本机的需求。
虽然有共享的Mac,但大多数苹果电脑实际上是单用户系统,囙此运行该系统的用户是管理员账户。 这意味着根账户(具有超级用户权限)和整个操作系统只受一个通常较弱的密码保护。
我们不要忘记人为因素:如果软件要求输入密码,用户很可能会提供密码。 换言之,苹果需要解决这一巨大的安全风险,这就是它引入SIP时所做的。
SIP是做什么的?
超级用户的权力如果用于恶意目的就会成为严重威胁,囙此苹果已经决定“保护系统”不受根函数的影响。 SIP本质上是一个应用于整个系统的安全性原则,其目的是防止第三方修改系统文件和行程。 为此,该公司设计了SIP来:
- 防止除苹果以外的各方修改存储在特定目录中的目录和文件。
- 限制多个系统调用的功能。
- 封锁安装未签名的内核扩展。
定位SIP配置
由于苹果已经从超级用户手中夺走了权力,它无法在操作系统中实现这种安全措施,因为超级用户是操作系统的一部分。 这就是为什么苹果必须将SIP配置存储在NVRAM中而不是文件系统中的原因。 只有在Mac启动到macOS安装程序或macOS恢复环境时,才能配置SIP。
在NVRAM中存储SIP配置有两个优点:第一,它适用于整个系统; 第二,即使重新安装了macOS,它仍然保持原样。 Mac仍然受到超级用户的保护。
为什么要禁用SIP?
打开SIP后,高级Mac用户无法使用终端命令访问受限区域,例如删除“sleepImage”。 在早期版本的macOS中,这些命令使用超级用户的强大功能很容易执行。 因此,那些希望完全访问系统的人会发现安全措施不舒服,因此对于这些用户来说,禁用它并要求完全控制机器是有意义的。
如何禁用SIP
从Apple菜单中,选择重新启动。按住Command+R键以引导到恢复操作系统。从实用程序菜单中选择终端。键入命令“”,然后按Return键。csrutil disable关闭终端应用程序并重新启动电脑。
如果决定重新启用SIP,可以按照上面的步骤进行操作,但不要键入“csrutil disable”,而是键入“csrutil enable”命令。
我们强烈建议不要禁用SIP,因为它是Apple为保护Mac免受恶意软件攻击而实施的一项伟大的安全措施。 不过,这是你的决定,你是否选择让你的Mac保持警惕。 可以禁用SIP,删除SleepImage,然后重新启用SIP以保护您的Mac不受恶意软件的攻击。
