Konfigurasi Perlindungan Integritas Sistem macOS

4

Saya sedang mencari untuk mengunci konfigurasi pada beberapa mac, dan ingin tahu apakah ada cara untuk mengubah file dan folder yang dilindungi SIP. Saya tahu ini dapat dinonaktifkan, dan aturan saat ini dilihat, tetapi apakah ada cara untuk menambahkan direktori Anda yang dilindungi?

Terima kasih

macos security root sip Eugene Wolffe
sumber

Jawaban:

3

Dimungkinkan untuk menambahkan direktori Anda yang dilindungi ke SIP:

  • Boot ke Mode Pemulihan dan nonaktifkan SIP
  • Mulai ulang dan buat struktur direktori.

  • Tandai seluruh folder atau satu file atau folder:

    sudo chflags restricted /example
sudo chflags restricted /example/example.app
sudo chflags restricted /example/subdir/file

    atau hierarki folder:

    sudo chflags -R restricted /example

    Jika Anda ingin mengecualikan subdir setelah menggunakan opsi -R Anda harus menghapus flag yang dibatasi di sana:

    sudo chflags norestricted /example/subdir
  • Boot ke Mode Pemulihan dan aktifkan SIP

Sekarang contoh folder , example.app dan file / example / subdir / file dilindungi. Anda masih dapat menambah atau menghapus file ke / dari / example / subdir .

The dibatasi bendera tidak berpengaruh jika SIP dinonaktifkan - POSIX biasa / ACL izin berlaku. Dengan SIP diaktifkan file / folder dilindungi.

Dimungkinkan juga untuk menambah, menghapus atau mengubah file dan direktori yang dilindungi SIP melalui paket pemasang yang ditandatangani oleh otoritas sertifikat Apple sendiri. Karena pengguna / pelanggan biasa biasanya tidak memiliki akses ke otoritas sertifikat ini, kemungkinan ini dihilangkan.

Versi sebelumnya dari jawaban ini menyatakan bahwa diperlukan untuk memodifikasi file /System/Library/Sandbox/rootless.conf dan menambahkan sesuatu seperti:

                                /example
                                /example/example.app
*                               /example/subdir
                                /example/subdir/file

Ini salah! Cukup menandai file atau folder sebagai terbatas sudah cukup untuk melindunginya.

klanomath
sumber
1
Mohon klarifikasi: Mengapa itu "salah", apakah itu tidak perlu, tidak berhasil, melampaui batas, praktik buruk ...
LangLangC
1

Sejauh yang saya tahu, tidak ada cara untuk memodifikasi direktori mana yang dilindungi SIP; SIP aktif atau tidak aktif . Apple juga tidak menyebutkan kemampuan seperti itu dalam dokumen pengembang mereka.

Abaikan ini, @kanomath memiliki jawaban yang lebih baik. Bagian terakhir dari jawaban saya masih berdiri sampai batas tertentu.

Jika Anda ingin mengunci file konfigurasi, ubah izin sistem file baik melalui GUI Finder atau utilitas baris perintah chown.

JMY1000
sumber
Cukup adil, diedit untuk merujuk ke jawaban Anda.
JMY1000