Was Mac-Benutzer über El Capitan Security wissen müssen

Sicherheit ist die größte Veränderung zu OS X 10.11 El Capitan. OS X ist jetzt so gesperrt, dass selbst root-Benutzer das Betriebssystem nicht ändern können - lass uns darüber reden, was das bedeutet, sollen wir?

Sicherheit ist die größte Veränderung zu OS X 10.11 El Capitan.  OS X ist jetzt so gesperrt, dass selbst root-Benutzer das Betriebssystem nicht ändern können - lass uns darüber reden, was das bedeutet, sollen wir?
Werbung

Mac-Benutzer: OS X 10.11 El Capitan ist da, und es ist ziemlich groß OS X El Capitan ist hier! Upgrade für ein glatteres Mac-Erlebnis OS X El Capitan ist da! Upgrade für ein glatteres Mac-Erlebnis Mac OS X El Capitan ist eine subtile Version: Die größten Änderungen sind nicht sichtbar - aber Sie werden sie wahrscheinlich trotzdem bemerken. Weiterlesen . Die meisten Benutzer werden eine merkliche Leistungssteigerung erfahren, und es gibt einige (relativ kleine) neue Funktionen.

Aber was ist die größte Veränderung, die Apple diesmal gemacht hat? Sicherheit. OS X ist jetzt so gesperrt, dass selbst root-Benutzer das Betriebssystem nicht ändern können - lass uns darüber reden, was das bedeutet, sollen wir?

Systemintegritätsschutz: Root hat hier keine Leistung

Erinnerst du dich an diesen alten Cartoon?

Sandwich

Versteh das nicht? Nun, in vielen UNIX-ähnlichen Systemen - einschließlich OS X - steht der Befehl sudo für Superuser. Wenn Sie "sudo" vor einen Befehl setzen und Ihr Benutzerkonto ein Administrator ist, können Sie Dinge tun, die Sie sonst nicht tun können.

Grundsätzlich, wenn Sie ein Superuser sind, können Sie alles tun - es sei denn, Sie führen El Capitan. In dieser Version von OS X können Sie Core-Systemdateien überhaupt nicht bearbeiten, unabhängig davon, ob Sie root sind oder nicht.

Dies ist auf den Systemintegritätsschutz (System Integrity Protection, SIP) - manchmal auch als " rootless" ( rootless) bezeichnet - eine neue Funktion, die bedeutet, dass Benutzer und Software von Drittanbietern, einschließlich Malware, Core-Systemdateien nicht ändern können.

Zusammenfassend bedeutet SIP, dass:

  • Core-Systemdateien können nicht einmal von Root-Benutzern neu geschrieben werden.
  • Das Eingeben von Code in geschützte Prozesse ist vom System nicht mehr erlaubt.
  • Nur signierte Kernel-Erweiterungen können ausgeführt werden - keine Ausnahmen.

Die Grundidee ist hier, dass, wenn Sie diese Kerndateien nicht ändern können, auch keine Malware oder Hacker . Aber es gibt einige potentielle Nachteile, besonders wenn Sie die Art von Benutzern sind, die gerne hacken oder Dinge anpassen.

Systemverzeichnisse können nicht bearbeitet werden

In El Capitan kann der Inhalt bestimmter Ordner nicht vom Benutzer oder einem Programm geändert werden, das der Benutzer möglicherweise ausführen möchte. Welche Ordner?

  • /System
  • /Behälter
  • / usr (außer "/ usr / local")
  • / sbin

Das Testen ist einfach: Gehe zum Terminal und versuche ein neues Verzeichnis in / System zu erstellen. Es wird nicht funktionieren:

System-Integrität-Schutz-Mac

Das bedeutet, dass Sie und alle Programme, die Sie ausführen möchten, keine Änderungen an OS X vornehmen können - selbst wenn Sie ein root-Benutzer sind und selbst wenn Sie Ihr Kennwort eingeben. Dies bedeutet auch, dass Malware und Hacker nichts in diesen Ordnern ändern können .

Jede Anwendung, die teilweise durch Änderungen an diesen Ordnern funktioniert hat, wird in El Capitan nicht funktionieren, ohne jede Art von Aktualisierung.

Diese Änderung ist rückwirkend. Wenn Sie also in der Vergangenheit Änderungen an OS X vorgenommen haben, werden diese Änderungen beim Upgrade auf El Capitan rückgängig gemacht. Sie können jedoch alle Dateien und Änderungen wiederherstellen, wenn Sie möchten in / Bibliothek / Systemmigration .

Heilige Hölle. Wenn du Mac OS X 10.11 "El Jefe" installierst, verschiebt rootless ein * Bündel * Zeug nach / Library / SystemMigration / Ich habe Zeug von 2006!

- Rosyna Keller (@rosyna) 21. September 2015

Nicht mehr Dinge in den Speicher injizieren

Haben Sie jemals EasySIMBL verwendet, mit dem Sie fast alles auf Ihrem Mac anpassen können? Fast alles auf Ihrem Mac mit EasySIMBL anpassen Fast alles auf Ihrem Mac mit EasySIMBL anpassen Ausblenden der Menüleiste, wenn bestimmte Anwendungen zum Einbetten von Instagram-Bildern in die offizielle Twitter-App geöffnet sind, Sie können Dinge mit EasySIMBL tun, die Sie wahrscheinlich nicht wussten, waren möglich. Weiterlesen ? Dieses Programm kann Funktionen zu Programmen und OS X selbst hinzufügen und erreicht dies, indem Code in ein gerade ausgeführtes Programm eingegeben wird. Zum Beispiel: Ein Plugin für EasySIMBL machte den offiziellen Mac-Client von Twitter mit eingebetteten Bildern von Instagram, eine Funktion, die es sonst nicht gab.

Das kann wirklich cool sein, aber es verwendet auch die exakte Methode, die viele gängige Malware benutzt, um alle möglichen unangenehmen Dinge zu erledigen. In El Capitan ist das nicht mehr möglich.

@ jolan78 @comex easysimbl ist am 10.10.3+ kaputt. Die Zukunft ist ziemlich düster dank sowieso wurzellos (absichtlich nicht einfach zu deaktivieren)

- Adam Demasi (@hbkirb) 22. August 2015

Dies bricht Dinge wie EasySIMBL, und das beliebte Flashlight-Plugin-System für Spotlight Add Superpowers Spotlight mit diesem inoffiziellen Plugin-System Add Supermächte mit diesem inoffiziellen Plugin-System im Rampenlicht Bringen Sie Google, Wolfram Alpha, das Wetter und alles andere zu Spotlight. Lesen Sie mehr, auf El Capitan - aber verhindert auch alle Arten von theoretisch möglichen Malware.

Keine mehr nicht signierten Kernel-Erweiterungen

Kernel-Erweiterungen sind Softwareteile, die direkt mit dem Systemkern interagieren. Die meisten Mac-Benutzer werden wahrscheinlich nie eine Kernel-Erweiterung installieren, es sei denn, sie benötigen Treiber für irgendeine Art von Hardware von Drittanbietern.

. @ZetesIndustries holen Sie sich bitte Ihre Treiber für den "meistverkauften eid reader" für Mac OS. Sicherheit ist wichtig. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25. Januar 2015

Und ab jetzt müssen alle Kernel-Erweiterungen - einschließlich der Treiber - signiert sein, um ausgeführt zu werden. Wenn Sie sich also auf eine Hardware verlassen, die auf einem nicht signierten Treiber beruht, wird dieser Treiber nicht in El Capitan geladen - Ihr Gerätehersteller muss einen signierten Treiber freigeben oder Sie können Ihre Hardware nicht verwenden.

Ausschalten von SIP / Rootless in El Capitan

Diese Änderungen werden ohne Frage die Sicherheit verbessern - aber einige Menschen sind der Meinung, dass es den Verlust der Freiheit nicht wert ist.

Mac Os X El Capitan ist ein Alptraum für Entwickler mit *** rootless Implementierung

- Necromant2005 (@ Nekromant2005) 5. Oktober 2015

Mac OS X El Capitans wurzelloses "Feature" ist, dass deine Eltern versuchen, dich zu Boden zu bringen, wenn du 30 bist und dein eigenes Haus besitzt.

- Junior (@juniorzoid) 1. Oktober 2015

Unabhängig davon, ob Sie diesen Beschwerden zustimmen oder sich einfach auf Apps oder Hardware verlassen, die nicht mit aktiviertem SIP funktionieren, ist es möglich, diese Sicherheitsfunktion auszuschalten.

Der Systemintegritätsschutz kann nicht vom Betriebssystem selbst aus deaktiviert werden: Sie müssen in OS X Recovery booten. Fahren Sie Ihren Mac herunter und halten Sie CMD + R gedrückt, während er gestartet wird.

Was Mac-Benutzer über die Wiederherstellung von El Capitan Security OS X wissen müssen

Sobald das System OS X Recovery lädt, laden Sie das Terminal aus der Menüleiste, geben Sie csrutil disable ein und drücken Sie die Eingabetaste . Wenn Sie SIP / Rootless später wieder aktivieren möchten, wiederholen Sie diesen Vorgang, aber geben Sie csrutil enable im Terminal ein.

Alternativ können Sie einfach El Capitan für eine Weile nicht installieren - Sie können die tollen Funktionen ohne Upgrade erhalten Nicht warten, Get OS X 11.10 El Capitan Funktionen Jetzt in Yosemite warten Sie nicht, erhalten OS X 11.10 El Capitan Funktionen richtig Jetzt in Yosemite Während OS X 11.10 einige nette neue Funktionen und Verfeinerungen enthält, können Sie die meisten der kommenden Funktionen durch die Installation von Software von Drittanbietern erhalten. Mehr lesen sowieso.

Andere verschiedene Sicherheitspatches

SIP ist nicht das einzige neue Sicherheitsmerkmal in El Capitan - nur das bemerkenswerteste. Sie können Apples lange Liste von OS X Sicherheitsupdates lesen, wenn Sie möchten, aber hier sind ein paar Highlights:

  • Viele Änderungen an Apps zum Schutz des Schlüsselbund-Zugriffs.
  • Verbesserte Verschlüsselungsalgorithmen.
  • Änderungen am EFI, um systemweite Manipulationen zu verhindern.
  • Eine verbesserte Form der Zwei-Faktor-Authentifizierung Was ist Zwei-Faktor-Authentifizierung und warum sollten Sie sie verwenden? Was ist Zwei-Faktor-Authentifizierung, und warum sollten Sie sie verwenden Zwei-Faktor-Authentifizierung (2FA) ist eine Sicherheitsmethode, die zwei verschiedene Arten erfordert um deine Identität zu beweisen. Es wird häufig im täglichen Leben verwendet. Zum Beispiel erfordert die Zahlung mit einer Kreditkarte nicht nur die Karte, ... Read More für iCloud-Benutzer.

Sicherheit oder Freiheit?

Hmm, den Rootless-Modus in El Capitan auszuschalten, damit ich die Icons meines Macs ersetzen kann, fühlt sich komisch an

- zach (@Zacitus) 24. Juli 2015

Ich habe darüber gesprochen, wie die neuen Sicherheitsfunktionen von El Capitan das Ende der Mac-Anpassung bedeuten El Capitan Means Das Ende von Mac Themes & Deep System Tweaks El Capitan bedeutet das Ende von Mac Themes & Deep System Tweaks Wenn Sie Ihren Mac anpassen möchten, könnte Yosemite sei die letzte Version von OS X, die für dich funktioniert. Und das ist schade. Lesen Sie mehr, und die Kommentare ich habe mich überrascht - Leute im Grunde gesagt "Na und?".

rootless-comments-custom-mac

Vielleicht sind mehr Mac-Benutzer damit einverstanden: dass sie lieber Sicherheitsfunktionen wie SIP haben, als die Möglichkeit, Dinge zu optimieren. Ich möchte wissen, was du denkst: Gibt es hier einen Kompromiss, und ist es das wert? Lassen Sie uns das in den Kommentaren besprechen.

Bildnachweis: "Sandwich" mit freundlicher Genehmigung von XKCD

In this article