Deaktivieren des Systemintegritätsschutzes auf einem Mac (und warum Sie dies nicht tun sollten)
Mac OS X 10.11 El Capitan schützt Systemdateien und -prozesse mit einer neuen Funktion namens System Integrity Protection. SIP ist eine Funktion auf Kernelebene, die die Möglichkeiten des Root-Kontos einschränkt.
Dies ist eine großartige Sicherheitsfunktion, und fast jeder - auch „Power User“ und Entwickler - sollte es aktiviert lassen. Wenn Sie jedoch Systemdateien wirklich ändern müssen, können Sie sie umgehen.
Was ist Systemintegritätsschutz??
Unter Mac OS X und anderen UNIX-ähnlichen Betriebssystemen, einschließlich Linux, gibt es ein Root-Konto, das normalerweise vollen Zugriff auf das gesamte Betriebssystem hat. Wenn Sie zum Root-Benutzer werden oder Root-Berechtigungen erhalten, haben Sie Zugriff auf das gesamte Betriebssystem und die Möglichkeit, Dateien zu ändern und zu löschen. Malware, die über Stammberechtigungen verfügt, kann diese Berechtigungen verwenden, um die untergeordneten Betriebssystemdateien zu beschädigen und zu infizieren.
Geben Sie Ihr Kennwort in ein Sicherheitsdialogfeld ein und Sie haben der Anwendung Stammberechtigungen erteilt. Dies erlaubt es normalerweise, etwas für Ihr Betriebssystem zu tun, obwohl viele Mac-Benutzer dies möglicherweise nicht erkannt haben.
Der Systemintegritätsschutz - auch als "rootless" bezeichnet - funktioniert durch Beschränkung des Root-Kontos. Der Betriebssystemkern prüft selbst den Zugriff des Root-Benutzers und lässt bestimmte Aktionen nicht zu, z. B. das Ändern geschützter Speicherorte oder das Einfügen von Code in geschützte Systemprozesse. Alle Kernel-Erweiterungen müssen signiert sein und Sie können System Integrity Protection nicht in Mac OS X selbst deaktivieren. Anwendungen mit erhöhten Root-Berechtigungen können Systemdateien nicht mehr manipulieren.
Sie werden dies am wahrscheinlichsten bemerken, wenn Sie versuchen, in eines der folgenden Verzeichnisse zu schreiben:
- /System
- /Behälter
- / usr
- / sbin
OS X lässt es einfach nicht zu und es erscheint die Meldung "Vorgang nicht zulässig". OS X erlaubt Ihnen auch nicht, einen anderen Speicherort über einem dieser geschützten Verzeichnisse einzuhängen. Es gibt also keine Möglichkeit, dies zu umgehen.
Die vollständige Liste der geschützten Speicherorte finden Sie unter /System/Library/Sandbox/rootless.conf auf Ihrem Mac. Es enthält Dateien wie die in Mac OS X enthaltenen Apps Mail.app und Chess.app. Sie können diese also nicht entfernen - auch nicht als Root-Benutzer von der Befehlszeile. Dies bedeutet auch, dass Malware diese Anwendungen jedoch nicht modifizieren und infizieren kann.
Es ist kein Zufall, dass die Option "Festplatten-Berechtigungen reparieren" im Festplatten-Dienstprogramm - seit langem zur Behebung verschiedener Mac-Probleme verwendet - jetzt entfernt wurde. System Integrity Protection sollte ohnehin verhindern, dass wichtige Dateiberechtigungen manipuliert werden. Das Festplatten-Dienstprogramm wurde umgestaltet und hat immer noch die Option "Erste Hilfe", um Fehler zu beheben, enthält jedoch keine Möglichkeit, Berechtigungen zu reparieren.
Deaktivieren des Systemintegritätsschutzes
Warnung: Tun Sie dies nicht, es sei denn, Sie haben einen triftigen Grund und wissen genau, was Sie tun! Die meisten Benutzer müssen diese Sicherheitseinstellung nicht deaktivieren. Es soll nicht verhindern, dass Sie mit dem System herumspielen - es soll verhindern, dass Malware und andere schlecht verhaltene Programme das System beschädigen. Einige Low-Level-Dienstprogramme funktionieren jedoch möglicherweise nur, wenn sie uneingeschränkten Zugriff haben.
Die Einstellung für den Systemintegritätsschutz wird nicht in Mac OS X selbst gespeichert. Stattdessen wird es auf jedem einzelnen Mac im NVRAM gespeichert. Sie kann nur in der Wiederherstellungsumgebung geändert werden.
Um im Wiederherstellungsmodus zu starten, starten Sie Ihren Mac neu und halten Sie beim Starten Boot + R gedrückt. Sie gelangen in die Wiederherstellungsumgebung. Klicken Sie auf das Menü "Dienstprogramme" und wählen Sie "Terminal", um ein Terminalfenster zu öffnen.
Geben Sie den folgenden Befehl in das Terminal ein und drücken Sie die Eingabetaste, um den Status zu überprüfen:
csrutil status
Sie sehen, ob der Systemintegritätsschutz aktiviert ist oder nicht.
Führen Sie den folgenden Befehl aus, um System Integrity Protection zu deaktivieren:
csrutil deaktivieren
Wenn Sie sich dazu entscheiden, SIP später zu aktivieren, kehren Sie zur Wiederherstellungsumgebung zurück und führen Sie den folgenden Befehl aus:
csrutil aktivieren
Starten Sie Ihren Mac neu und Ihre neue Einstellung für den Systemintegritätsschutz wird wirksam. Der root-Benutzer hat nun vollen uneingeschränkten Zugriff auf das gesamte Betriebssystem und jede Datei.
Wenn Sie zuvor Dateien in diesen geschützten Verzeichnissen gespeichert hatten, bevor Sie Ihren Mac auf OS X 10.11 El Capitan aktualisiert haben, wurden sie nicht gelöscht. Sie finden sie auf Ihrem Mac in das Verzeichnis / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / verschoben.
Bildnachweis: Shinji auf Flickr