Конфигурация защиты целостности системы macOS

Question

Конфигурация защиты целостности системы macOS

глоток
корень
макос
безопасность
Софт

Юджин Вольф

Я хотел заблокировать конфигурацию на некоторых компьютерах Mac и хотел узнать, есть ли способ изменить файлы и папки, которые защищает SIP. Я знаю, что его можно отключить и просмотреть его текущие правила, но есть ли способ добавить свои собственные защищенные каталоги?

Спасибо

Ответы (2)

Конфигурация защиты целостности системы macOS

кланомат · Answer 1

В SIP можно добавить собственный защищенный каталог:

Загрузитесь в режим восстановления и отключите SIP
Перезагрузитесь и создайте структуру каталогов.
Отметить всю папку или отдельные файлы или папки:
```
sudo chflags restricted /example
sudo chflags restricted /example/example.app
sudo chflags restricted /example/subdir/file
```
или иерархия папок:
```
sudo chflags -R restricted /example
```
Если вы хотите исключить подкаталог после использования параметра -R, вы должны удалить там флаг ограничения:
```
sudo chflags norestricted /example/subdir
```
Загрузитесь в режиме восстановления и включите SIP

Теперь папки example , example.app и файл /example/subdir/file защищены. Вы по-прежнему можете добавлять или удалять файлы в/из /example/subdir .

Флаг ограничения не действует, если SIP отключен — применяются обычные разрешения POSIX/ACL. При включенном SIP файлы/папки защищены.

Также можно добавлять, удалять или изменять файлы и каталоги, защищенные SIP, с помощью установочного пакета, подписанного собственным центром сертификации Apple. Поскольку обычный пользователь/клиент обычно не имеет доступа к этому центру сертификации, эта возможность исключается.

В более ранней версии этого ответа утверждалось, что необходимо изменить файл /System/Library/Sandbox/rootless.conf и добавить что-то вроде:

                                /example
                                /example/example.app
*                               /example/subdir
                                /example/subdir/file

Это не верно! Для защиты достаточно просто пометить файл или папку как ограниченные .

Пожалуйста, уточните: почему это «неправильно», не нужно, не работает, переусердствует, плохая практика…

JMY1000 · Answer 2

Насколько я знаю, нет способа изменить, какие каталоги защищает SIP; SIP либо включен, либо выключен . Apple, похоже, также не упоминает о такой возможности в своих документах для разработчиков.

Не обращайте на это внимания, у @kanomath есть лучший ответ. Последняя часть моего ответа остается в силе в ограниченной степени.

Если вы хотите заблокировать файлы конфигурации, измените разрешения файловой системы либо через графический интерфейс Finder , либо с помощью утилиты командной строки chown.

Достаточно справедливо, отредактировано, чтобы ссылаться на ваш ответ.

Конфигурация защиты целостности системы macOS

Юджин Вольф

Ответы (2)

кланомат

LаngLаngС

JMY1000

JMY1000

Защитить каждую учетную запись пользователя в Lion?

Как защитить себя от корневой уязвимости в macOS High Sierra?

Что такое «безродная» функция в El Capitan на самом деле?

Как системные службы изменяют защищенные каталоги с защитой целостности системы

Как убедиться, что ошибка корневой учетной записи macOS полностью исправлена на моем компьютере?

Кроме ошибок пользователя, какие типы атак SIP предотвратит?

Как узнать, откуда появляется диалоговое окно с паролем?

Есть ли способ автоматически отформатировать/удалить мой SSD после x неудачных попыток входа в систему?

Корзина не очищается из-за файла P ͎̮͉͍ͨ̈́̾̈́A ͎̮͉͍ͨ̈́̾̈́I ͎̮͉͍ͨ̈́̾̈́N ͎̮͉͍ͨ̈́̾̈́.jpg

Отключить ВСЕ подсказки пароля в Finder