Ceea ce utilizatorii de Mac trebuie să știe despre securitatea El Capitan
Utilizatorii de Mac: OS X 10.11 El Capitan este aici, și este destul de mare OS X El Capitan este aici! Upgrade pentru o experiență Mac mai ușoară OS X El Capitan este aici! Upgrade pentru o experiență Mac mai ușoară Mac OS X El Capitan este o versiune subtilă: cele mai mari schimbări nu sunt vizibile - dar probabil că le veți observa oricum. Citeste mai mult . Cei mai mulți utilizatori vor obține un impuls notabil de performanță, și există câteva caracteristici (relativ minore) noi.
Dar care este cea mai mare schimbare pe care Apple a făcut-o de data asta? Securitate. OS X este acum atât de blocat chiar și utilizatorii rădăcină nu pot modifica sistemul de operare - să trecem peste ceea ce înseamnă asta, nu-i așa??
Protecția integrității sistemului: rădăcina nu are putere aici
Amintiți-vă acest desen animat vechi?
Nu înțelegi? Ei bine, în multe sisteme asemănătoare UNIX - inclusiv OS X - comanda sudo standuri pentru superuser. Punând “sudo” în fața unei comenzi, presupunând că contul dvs. de utilizator este un administrator, vă permite să faceți lucruri pe care nu le puteți face altfel.
Practic, dacă ești superuser, poți face orice - dacă, desigur, nu conduci El Capitan. În această versiune de OS X nu puteți edita fișierele sistemului de bază, deloc, indiferent dacă sunteți root.
Acest lucru se datorează protejării integrității sistemului (SIP) - uneori numit fără rădăcini - o nouă caracteristică care înseamnă utilizatori și software terță parte, inclusiv programe malware, nu pot schimba fișierele sistemului de bază.
Pentru a rezuma, SIP înseamnă că:
- Fișierele sistemului de bază nu pot fi re-scrise, chiar și de către utilizatorii root.
- Codul de injectare în procese protejate nu mai este permis de sistem.
- Numai extensiile de kernel semnat pot rula - fără excepții.
Ideea de bază aici este că dacă nu puteți modifica aceste fișiere de bază, nici nu poate fi malware sau hackeri. Dar există unele posibile dezavantaje, mai ales dacă sunteți tipul de utilizator care îi place să hack sau personaliza lucrurile.
Directoarele de sistem nu pot fi editate
În El Capitan, conținutul anumitor dosare nu poate fi modificat de utilizator sau de niciun program pe care utilizatorul îl poate alege să îl ruleze. Care foldere?
- /Sistem
- /cos
- / usr (cu excepția “/ Usr / local”)
- / sbin
Testarea este simplu: mergeți la Terminal și încercați să creați un nou director în /Sistem. Acesta nu va funcționa:
Aceasta înseamnă că dvs. și toate programele pe care ați putea alege să le executați nu pot modifica sistemul OS X - chiar dacă sunteți utilizator root și chiar dacă introduceți parola. Acest lucru înseamnă, de asemenea, că programele malware și hackerii nu pot schimba nimic în acele dosare.
Orice aplicație care a funcționat parțial prin modificarea acestor foldere nu va funcționa în El Capitan, oprire completă, fără un fel de actualizare.
Și această modificare este retroactivă, adică dacă ați făcut ceva pentru a modifica OS X în trecut, aceste modificări se vor reveni la upgrade-ul la El Capitan - dar puteți recupera toate fișierele și modificările, dacă doriți, în / Library / SystemMigration.
Sfinte iad. Când instalați Mac OS X 10.11 "El Jefe", rădăcina se mișcă * o grămadă de * chestii în / Library / SystemMigration / Am lucruri din 2006!
- Rosyna Keller (@rosyna) 21 septembrie 2015
Nu mai injectați lucruri în memorie
Ați folosit vreodată EasySIMBL, care vă permite să particularizați aproape orice pe Mac Personalizați aproape orice pe Mac cu EasySIMBL Particularizați aproape orice pe Mac Cu EasySIMBL De la ascunderea menubar atunci când anumite aplicații sunt deschise pentru a încorpora imagini Instagram în cadrul aplicației oficiale Twitter, poți să faci lucruri cu EasySIMBL pe care probabil nu ai știut că erau posibile. Citeste mai mult ? Acest program poate adăuga funcționalități programelor și OS X în sine și reușește acest lucru prin injectarea de coduri într-un program care rulează în prezent. De exemplu: un plugin pentru EasySIMBL a făcut din serviciul de asistență client oficial Twitter suportat de Mac de la Instagram, o caracteristică pe care nu o avea altfel.
Acest lucru poate fi foarte cool, dar este, de asemenea, folosind metodologia exactă pe care o mulțime de malware comun foloseste pentru a face tot felul de lucruri urât. Nu mai este posibil în El Capitan.
@ jolan78 @comex easysimbl este spart pe 10.10.3+. viitorul este destul de sumbru, grație oricui rădăcini (în mod intenționat nu este ușor de dezactivat)
- ???? ?????? 3G? ??X ????? (@hbkirb) 22 august 2015
Acest lucru sparge lucruri precum EasySIMBL și sistemul popular de plugin-uri Flashlight pentru Spotlight Adăugați Superputeri Pentru a reflecta cu acest sistem neoficial de pluginuri Adăugați Superputeri Pentru a reflecta cu acest sistem neoficial de pluginuri Adu Google, Wolfram Alpha, vremea și aproape orice altceva la Spotlight. Citiți mai multe, pe El Capitan - dar, de asemenea, previne tot felul de malware teoretic posibil.
Nu mai există extensii de kernel fără semn
Extensiile de kernel sunt bucăți de software care interacționează direct cu kernelul sistemului. Majoritatea utilizatorilor de Mac nu vor instala niciodată o extensie de kernel, dacă nu au nevoie de drivere pentru un fel de hardware terț.
. @ZetesIndustries vă rugăm să obțineți driver-ele pentru "cel mai bine vândut cititor eid" semnat pentru Mac OS. Securitatea este importantă. pic.twitter.com/nubvHiItTe
- Andrew Fecheyr (@andruby) 25 ianuarie 2015
Și de acum înainte, toate extensiile kernel-ului, inclusiv driverele, trebuie să fie semnate pentru a rula. Aceasta înseamnă că, dacă vă bazați pe o componentă hardware care se bazează pe un driver nesignificat, acel driver nu se va încărca în El Capitan - producătorul dispozitivului dvs. trebuie să elibereze un driver semnat sau nu veți putea să utilizați hardware-ul.
Oprirea SIP / Rootless în El Capitan
Aceste schimbări vor îmbunătăți fără îndoială securitatea - dar unii oameni consideră că nu merită pierderea libertății.
Mac OS X El Capitan este un coșmar pentru dezvoltatorii cu implementare fără rădăcini
- Necromant2005 (@ necromant2005) 5 octombrie 2015
Indiferent dacă sunteți de acord cu aceste plângeri sau pur și simplu că vă bazați pe aplicații sau hardware care nu funcționează cu SIP activat, este posibil să dezactivați această funcție de securitate.
Protecția integrității sistemului nu poate fi dezactivată din cadrul sistemului de operare în sine: trebuie să încărcați sistemul de recuperare OS X. Opriți-vă Mac-ul, apoi țineți-l CMD + R în timp ce începe.
Odată ce sistemul încarcă OS X Recovery, încărcați Terminal din meniu, apoi tastați csrutil dezactivați și lovit introduce. Dacă mai târziu doriți să activați SIP / rootless, repetați acest proces, dar tastați csrutil permite în Terminal.
Alternativ, pur și simplu nu ați putea instala El Capitan pentru o perioadă îndelungată - aveți posibilitatea să obțineți funcțiile excelente fără a face upgrade, nu așteptați, obțineți OS X 11.10 Caracteristicile El Capitan chiar acum în Yosemite Nu așteptați, obțineți OS X 11.10 Caracteristicile El Capitan Acum, în Yosemite În timp ce există câteva caracteristici și îmbunătățiri noi, care vin la OS X 11.10, puteți obține cele mai multe dintre funcțiile viitoare prin instalarea de software terță parte astăzi. Citește mai mult oricum.
Alte soluții de securitate diferite
SIP nu este singura caracteristică nouă de securitate din El Capitan - ceea ce este cel mai demn de remarcat. Puteți citi lunga listă a Apple a actualizărilor de securitate OS X, dacă doriți, dar iată câteva aspecte importante:
- Multe modificări la aplicații pentru a proteja accesul prin cheie.
- Algoritmi de criptare îmbunătățiți.
- Schimbări la EFI pentru a preveni manipularea la scară largă a sistemului.
- O metodă de autentificare cu doi factori (2FA) este o metodă de securitate care necesită două moduri diferite de autentificare de a vă dovedi identitatea. Este frecvent utilizat în viața de zi cu zi. De exemplu, plata cu un card de credit nu necesită numai cardul, ... Citește mai mult pentru utilizatorii iCloud.
Securitate sau Libertate?
ugh, trebuie să oprească modul rădăcină în el capitan pentru a putea înlocui icoanele lui mac se simte ciudat
- Zach Smith (@Zacitus) 24 iulie 2015
Am vorbit despre modul în care noile funcții de securitate ale lui El Capitan sunt sfârșitul personalizării Mac. El Capitan înseamnă sfârșitul temelor pentru Mac și trucurile profunde ale sistemelor El Capitan înseamnă sfârșitul temelor Mac & Tweaks de sistem profund Dacă vă place să personalizați Mac-ul, Yosemite ar putea fi ultima versiune de OS X care funcționează pentru dvs. Și asta e prea rău. Citește mai mult și comentariile pe care le-am surprins - oamenii au spus în principiu “Și ce dacă?”.
Poate că mai mulți utilizatori de Mac sunt de acord cu aceasta: că ei ar prefera să aibă caracteristici de securitate precum SIP decât abilitatea de a modifica lucrurile. Vreau să știu ce credeți: există un compromis aici și merită? Să vorbim despre asta în comentariile.
Credite de imagine: “Sandwich” curtoazie de XKCD
Explorați mai multe despre: Computer Security, OS X El Capitan.