Рекламное объявление

Пользователи Mac: OS X 10.11 El Capitan уже здесь, и это здорово OS X El Capitan уже здесь! Обновление для более плавного опыта MacMac OS X El Capitan - тонкий релиз: его самые большие изменения не видны - но вы, вероятно, заметите их в любом случае. Подробнее . Большинство пользователей получат заметное повышение производительности, и появятся некоторые (относительно незначительные) новые функции.

Но какое самое большое изменение Apple произвела на этот раз? Безопасность. OS X теперь настолько заблокирована, что даже пользователи root не могут изменять операционную систему - давайте рассмотрим, что это значит, не так ли?

Защита целостности системы: у Root здесь нет питания

Помните этот старый мультфильм?

сэндвич

Не понимаю? Ну, во многих UNIX-подобных системах - включая OS X - команда Судо обозначает суперпользователя. Помещение «sudo» перед командой, предполагая, что ваша учетная запись пользователя является администратором, позволяет вам делать вещи, которые вы не можете сделать иначе.

instagram viewer

По сути, если вы суперпользователь, вы можете делать что угодно - если, конечно, вы не управляете El Capitan. В этой версии OS X вы не можете редактировать основные системные файлы, независимо от того, являетесь ли вы пользователем root.

Это из-за Защита целостности системы (SIP) - иногда называется без корней - новая функция, которая означает, что пользователи и стороннее программное обеспечение, включая вредоносные программы, не могут изменять системные системные файлы.

Подводя итог, SIP означает, что:

  • Базовые системные файлы не могут быть перезаписаны даже пользователями root.
  • Внедрение кода в защищенные процессы больше не разрешено системой.
  • Могут работать только подписанные расширения ядра - без исключений.

Основная идея здесь заключается в том, что если вы не можете изменить эти основные файлы, ни вредоносные программы, ни хакеры. Но есть некоторые потенциальные недостатки, особенно если вы тот пользователь, который любит взламывать или настраивать вещи.

Системные каталоги не могут быть отредактированы

В El Capitan содержимое определенных папок не может быть изменено пользователем или любой другой программой, которую пользователь может запустить. Какие папки?

  • /System
  • /bin
  • / usr (кроме «/ usr / local»)
  • /sbin

Тестирование это просто: голова к Терминал и попробуйте создать новый каталог в /System. Это не сработает:

системы целостности защитно-макинтош

Это означает, что вы и любые программы, которые вы можете запускать, не можете вносить какие-либо изменения в OS X - даже если вы являетесь пользователем root, и даже если вы вводите свой пароль. Это также означает, что вредоносные программы и хакеры не могут ничего изменить в этих папках..

Любое приложение, которое частично работало, внося изменения в эти папки, не будет работать в El Capitan, без остановки, без какого-либо обновления.

И это изменение имеет обратную силу, то есть, если вы уже что-то делали для редактирования OS X, эти изменения будут восстановить при обновлении до El Capitan - но вы можете восстановить все файлы и изменения, если хотите, они находятся в /Library/SystemMigration.

Святой ад. Когда вы устанавливаете Mac OS X 10.11 «El Jefe», rootless перемещает кучу вещей в / Library / SystemMigration / У меня есть вещи с 2006 года!

- Розина Келлер (@rosyna) 21 сентября 2015 г.

Больше не нужно вводить вещи в память

Вы когда-нибудь использовали EasySIMBL, который позволяет вам настроить практически все на вашем Mac Настройте практически все на своем Mac с помощью EasySIMBLОт сокрытия строки меню, когда некоторые приложения открыты для встраивания изображений Instagram в официальное приложение Twitter, вы можете делать вещи с EasySIMBL, которые вы, вероятно, не знали, были возможны. Подробнее ? Эта программа может добавить функциональность программам и самой OS X, и выполняет это путем внедрения кода в работающую в данный момент программу. Например: один плагин для EasySIMBL позволил официальному клиенту Twitter для Mac поддерживать встроенные изображения из Instagram, чего нет у него.

Это может быть действительно круто, но оно также использует точную методологию, которую использует множество распространенных вредоносных программ для совершения всевозможных неприятных действий. В Эль-Капитане это больше невозможно.

@ jolan78@comex easysimbl не работает 10.10.3+. будущее в любом случае довольно безрадостное благодаря безродным (намеренно не легко отключить)

—?????? 3G? ??Икс??? (@Hbkirb) 22 августа 2015 г.

Это ломает такие вещи, как EasySIMBL, и популярная система плагинов для фонарика Добавьте суперспособности в центр внимания с помощью этой неофициальной системы плагиновПринесите Google, Wolfram Alpha, погоду и почти все остальное в Spotlight. Подробнее на El Capitan - но также предотвращает всевозможные теоретически возможные вредоносные программы.

Нет больше неподписанных расширений ядра

Расширения ядра - это части программного обеспечения, которые напрямую взаимодействуют с ядром системы. Большинство пользователей Mac, вероятно, никогда не установят расширение ядра, если им не нужны драйверы для какого-либо стороннего оборудования.

. @ZetesIndustries пожалуйста, получите ваши драйверы для «самого продаваемого Eid Reader», подписанного для Mac OS. Безопасность важна. pic.twitter.com/nubvHiItTe

- Эндрю Фечейр (@andruby) 25 января 2015 г.

И теперь все расширения ядра, включая драйверы, должны быть подписаны для запуска. Это означает, что если вы используете аппаратное обеспечение, которое использует неподписанный драйвер, этот драйвер не будет загружаться в El Capitan - производитель вашего устройства должен выпустить подписанный драйвер, или вы не сможете использовать свой аппаратное обеспечение.

Отключение SIP / Rootless в El Capitan

Эти изменения, без сомнения, улучшат безопасность, но некоторые люди считают, что потеря свободы не стоит.

Mac Os X El Capitan - это кошмар для разработчиков с реализацией без рутов

- Necromant2005 (@ necromant2005) 5 октября 2015 г.

Согласны ли вы с этими жалобами или просто полагаетесь на приложения или оборудование, которые не работают с включенным SIP, можно отключить эту функцию безопасности.

Защита целостности системы не может быть отключена из самой ОС: вам нужно загрузиться в OS X Recovery. Выключите свой Mac, затем удерживайте CMD + R, пока он запускается.

Что нужно знать пользователям Mac о El Capitan Security os x recovery

Как только система загрузит OS X Recovery, загрузите Терминал из меню, затем введите отключить csrutil и ударил Войти. Если позже вы захотите снова включить SIP / без root, повторите этот процесс, но введите csrutil enable в Терминале.

Кроме того, вы можете просто не установить El Capitan на некоторое время - вы можете получить отличные возможности без обновления Не ждите, получите возможности OS X 11.10 El Capitan прямо сейчас в ЙосемитиХотя в OS X 11.10 появилось несколько приятных новых функций и улучшений, вы можете получить большинство новых функций, установив стороннее программное обеспечение сегодня. Подробнее так или иначе.

Другие различные исправления безопасности

SIP - не единственная новая функция безопасности в El Capitan - только самая заслуживающая внимания. Ты можешь читать Длинный список обновлений безопасности OS X от AppleЕсли хотите, но вот несколько основных моментов:

  • Много изменений в приложениях для защиты доступа Keychain.
  • Улучшены алгоритмы шифрования.
  • Изменения в EFI для предотвращения взлома всей системы.
  • Улучшенная форма двухфакторная аутентификация Что такое двухфакторная аутентификация и почему ее следует использоватьДвухфакторная аутентификация (2FA) - это метод безопасности, который требует двух разных способов подтверждения вашей личности. Это обычно используется в повседневной жизни. Например, оплата кредитной картой не только требует карты, ... Подробнее для пользователей iCloud.

Безопасность или свобода?

тьфу, необходимость выключить режим без root в el capitan, чтобы я мог заменить значки моего mac, кажется странной

- Зак Смит (@Zacitus) 24 июля 2015 г.

Я говорил о том, как новые функции безопасности El Capitan конец настройки Mac El Capitan означает конец Mac темы и глубокие системные настройкиЕсли вам нравится настраивать ваш Mac, Yosemite может быть последней версией OS X, которая подойдет вам. И это очень плохо. Подробнее и комментарии меня удивили - люди в основном говорили «И что?».

безродный-комментарий-заказ макинтош

Может быть, больше пользователей Mac согласны с этим: они скорее будут иметь функции безопасности, такие как SIP, чем возможность подправлять вещи. Я хочу знать, что вы думаете: есть ли здесь компромисс, и стоит ли это того? Давайте поговорим об этом в комментариях.

Кредиты Изображения: “сандвичЛюбезно предоставлено XKCD

Джастин Пот - технологический журналист из Портленда, штат Орегон. Он любит технологии, людей и природу - и пытается по возможности наслаждаться всеми тремя. Вы можете общаться с Джастином в Твиттере, прямо сейчас.