Cách tắt tính năng Bảo vệ tính toàn vẹn của hệ thống trên máy Mac (và Tại sao bạn không nên)
Mac OS X 10.11 El Capitan bảo vệ các tệp và quy trình hệ thống bằng một tính năng mới có tên Bảo vệ toàn vẹn hệ thống. SIP là một tính năng cấp hạt nhân giới hạn những gì tài khoản "gốc" có thể làm.
Đây là một tính năng bảo mật tuyệt vời và hầu như tất cả mọi người - ngay cả "người dùng thành thạo" và nhà phát triển - nên bật tính năng này. Tuy nhiên, nếu bạn thực sự cần sửa đổi các tệp hệ thống, bạn có thể bỏ qua nó.
Bảo vệ toàn vẹn hệ thống là gì?
LIÊN QUAN:Unix là gì và tại sao nó lại quan trọng?
Trên Mac OS X và các hệ điều hành giống UNIX khác, bao gồm cả Linux, có một tài khoản "gốc" theo truyền thống có toàn quyền truy cập vào toàn bộ hệ điều hành. Trở thành người dùng root - hoặc có được quyền root - cho phép bạn truy cập vào toàn bộ hệ điều hành và khả năng sửa đổi và xóa bất kỳ tệp nào. Phần mềm độc hại có được quyền root có thể sử dụng các quyền đó để làm hỏng và lây nhiễm các tệp hệ điều hành cấp thấp.
Nhập mật khẩu của bạn vào hộp thoại bảo mật và bạn đã cấp quyền root cho ứng dụng. Điều này theo truyền thống cho phép nó làm bất cứ điều gì với hệ điều hành của bạn, mặc dù nhiều người dùng Mac có thể không nhận ra điều này.
Bảo vệ toàn vẹn hệ thống - còn được gọi là "rootless" - hoạt động bằng cách hạn chế tài khoản root. Bản thân hạt nhân của hệ điều hành sẽ kiểm tra quyền truy cập của người dùng root và sẽ không cho phép nó thực hiện một số việc nhất định, chẳng hạn như sửa đổi các vị trí được bảo vệ hoặc đưa mã vào các quy trình hệ thống được bảo vệ. Tất cả các phần mở rộng hạt nhân phải được ký và bạn không thể tắt Bảo vệ toàn vẹn hệ thống từ bên trong chính Mac OS X. Các ứng dụng có quyền root nâng cao không còn có thể làm xáo trộn các tệp hệ thống.
Rất có thể bạn sẽ nhận thấy điều này nếu bạn cố gắng viết thư vào một trong các thư mục sau:
- / Hệ thống
- /thùng rác
- / usr
- / sbin
OS X sẽ không cho phép điều đó và bạn sẽ thấy thông báo “Thao tác không được phép”. OS X cũng sẽ không cho phép bạn gắn một vị trí khác trên một trong các thư mục được bảo vệ này, vì vậy không có cách nào để giải quyết vấn đề này.
Danh sách đầy đủ các vị trí được bảo vệ có tại /System/Library/Sandbox/rootless.conf trên máy Mac của bạn. Nó bao gồm các tệp như ứng dụng Mail.app và Chess.app đi kèm với Mac OS X, vì vậy bạn không thể xóa các tệp này - ngay cả khỏi dòng lệnh với tư cách là người dùng gốc. Tuy nhiên, điều này cũng có nghĩa là phần mềm độc hại không thể sửa đổi và lây nhiễm các ứng dụng đó.
Không phải ngẫu nhiên, tùy chọn "sửa chữa quyền trên đĩa" trong Disk Utility - được sử dụng từ lâu để khắc phục các sự cố Mac khác nhau - hiện đã bị loại bỏ. Bảo vệ tính toàn vẹn của hệ thống dù sao cũng nên ngăn chặn các quyền đối với tệp quan trọng bị giả mạo. Disk Utility đã được thiết kế lại và vẫn có tùy chọn "Sơ cứu" để sửa lỗi, nhưng không bao gồm cách sửa chữa quyền.
Cách tắt tính năng bảo vệ tính toàn vẹn của hệ thống
Cảnh báo: Đừng làm điều này trừ khi bạn có lý do chính đáng để làm như vậy và biết chính xác bạn đang làm gì! Hầu hết người dùng sẽ không cần tắt cài đặt bảo mật này. Nó không nhằm mục đích ngăn bạn làm hỏng hệ thống - nó nhằm ngăn phần mềm độc hại và các chương trình hoạt động kém khác gây rối hệ thống. Nhưng một số tiện ích cấp thấp chỉ có thể hoạt động nếu chúng có quyền truy cập không hạn chế.
LIÊN QUAN:8 Tính năng Hệ thống Mac Bạn có thể Truy cập trong Chế độ Khôi phục
Cài đặt Bảo vệ tính toàn vẹn của hệ thống không được lưu trữ trong chính Mac OS X. Thay vào đó, nó được lưu trữ trong NVRAM trên từng máy Mac riêng lẻ. Nó chỉ có thể được sửa đổi từ môi trường khôi phục.
Để khởi động vào chế độ khôi phục, hãy khởi động lại máy Mac của bạn và giữ Command + R khi nó khởi động. Bạn sẽ vào môi trường khôi phục. Nhấp vào menu “Tiện ích” và chọn “Thiết bị đầu cuối” để mở cửa sổ thiết bị đầu cuối.
Nhập lệnh sau vào thiết bị đầu cuối và nhấn Enter để kiểm tra trạng thái:
tình trạng csrutil
Bạn sẽ thấy liệu Bảo vệ toàn vẹn hệ thống có được bật hay không.
Để tắt tính năng Bảo vệ toàn vẹn hệ thống, hãy chạy lệnh sau:
csrutil vô hiệu hóa
Nếu bạn quyết định muốn bật SIP sau, hãy quay lại môi trường khôi phục và chạy lệnh sau:
csrutil cho phép
Khởi động lại máy Mac của bạn và cài đặt Bảo vệ toàn vẹn hệ thống mới của bạn sẽ có hiệu lực. Người dùng root bây giờ sẽ có quyền truy cập đầy đủ, không hạn chế vào toàn bộ hệ điều hành và mọi tệp.
Nếu trước đây bạn đã lưu trữ các tệp trong các thư mục được bảo vệ này trước khi nâng cấp máy Mac của mình lên OS X 10.11 El Capitan, thì chúng vẫn chưa bị xóa. Bạn sẽ thấy chúng được chuyển đến thư mục / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / trên máy Mac của bạn.
Tín dụng hình ảnh: Shinji trên Flickr