macOS Configurazione della protezione dell'integrità del sistema

Naviga le tue risposte
3

Stavo cercando di bloccare la configurazione su alcuni Mac e volevo sapere se c'è un modo per cambiare i file e le cartelle che SIP protegge. So che può essere disattivato e vengono visualizzate le regole correnti, ma esiste un modo per aggiungere le tue directory protette?

Grazie

    
posta Eugene Wolffe 07.02.2017 - 05:36
fonte

2 risposte

2

È possibile aggiungere la propria directory protetta a SIP:

  • Avvia la modalità di recupero e disabilita SIP
  • Riavvia e crea una struttura di directory.

  • Contrassegna l'intera cartella o singoli file o cartelle: 

    sudo chflags restricted /example
sudo chflags restricted /example/example.app
sudo chflags restricted /example/subdir/file

    o una gerarchia di cartelle: 

    sudo chflags -R restricted /example

    Se vuoi escludere un subdir dopo aver usato l'opzione -R devi rimuovere il flag con restrizioni qui: 

    sudo chflags norestricted /example/subdir
  • Avvia la modalità di recupero e abilita SIP

Ora le cartelle example , example.app e il file / example / subdir / file sono protetti. Puoi ancora aggiungere o rimuovere file da / em> / example / subdir .

Il flag limitato non ha alcun effetto se SIP è disabilitato - si applicano le normali autorizzazioni POSIX / ACL. Con SIP abilitato i file / le cartelle sono protetti.

È anche possibile aggiungere, rimuovere o modificare file e directory protetti da SIP tramite un pacchetto di installazione firmato dall'autorità di certificazione di Apple. Poiché un utente / cliente normale di solito non ha accesso a questa autorità di certificazione, questa possibilità viene eliminata.

Una versione precedente di questa risposta ha affermato che è necessario modificare il file / System / Library / Savebox /rootless.conf e aggiungere qualcosa del tipo: 

                                /example
                                /example/example.app
*                               /example/subdir
                                /example/subdir/file

Questo è sbagliato! Basta contrassegnare un file o una cartella come limitato è sufficiente per proteggerlo.

    
risposta data 07.02.2017 - 16:40
fonte
1

Per quanto ne so, non c'è modo di modificare le cartelle che SIP protegge; SIP è acceso o spento . Apple appare per non menzionare nemmeno una tale capacità nei loro documenti di sviluppo.

Ignora questo, @kanomath ha una risposta migliore. L'ultima parte della mia risposta è ancora limitata.

Se vuoi bloccare i file di configurazione, modifica i permessi del filesystem tramite la GUI del Finder o l'utilità della riga di comando chown .

    
risposta data 07.02.2017 - 10:07
fonte

Leggi altre domande sui tag

Come svuotare la cache DNS su iOS? Apple Thunderbolt 3 a Thunderbolt 2 e Thunderbolt Display