Hva Mac-brukere trenger å vite om El Capitan Security

Annonse

Mac-brukere: OS X 10.11 El Capitan er her, og det er ganske bra OS X El Capitan er her! Oppgrader for en jevnere Mac-opplevelseMac OS X El Capitan er en subtil utgivelse: de største endringene er ikke synlige - men du vil sannsynligvis legge merke til dem uansett. Les mer . De fleste brukere vil få et merkbart ytelsesøkning, og det er noen (relativt små) nye funksjoner.

Men hva er den største endringen Apple gjorde denne gangen? Sikkerhet. OS X er nå så låst til og med at rotbrukere ikke kan endre operativsystemet - la oss gå over hva det betyr, skal vi?

Systemintegritetsbeskyttelse: Root har ingen kraft her

Husker du denne gamle tegneserien?

Forstår du ikke det? Vel, i mange UNIX-lignende systemer - inkludert OS X - kommandoen sudo står for superbruker. Hvis du setter "sudo" foran en kommando, forutsetter at brukerkontoen din er en administrator, kan du gjøre ting du ikke kan ellers.

I utgangspunktet, hvis du er en superbruker, kan du gjøre hva som helst - med mindre du selvfølgelig kjører El Capitan. I denne versjonen av OS X kan du ikke redigere kjerne systemfiler i det hele tatt, uansett om du har rot.

Dette er pga Systemintegritetsbeskyttelse (SIP) - noen ganger kalt rotløse - en ny funksjon som betyr at brukere og tredjeparts programvare, inkludert skadelig programvare, ikke kan endre kjernesystemfiler.

For å oppsummere, betyr SIP at:

• Kjerne systemfiler kan ikke skrives på nytt, selv ikke av rotbrukere.
• Det er ikke lenger tillatt å injisere kode i beskyttede prosesser av systemet.
• Bare signerte kjerneutvidelser kan kjøres - ingen unntak.

Den grunnleggende ideen her er at hvis du ikke kan endre disse kjernefilene, verken malware eller hackere. Men det er noen potensielle ulemper, spesielt hvis du er den typen brukere som liker å hacke eller tilpasse ting.

Systemkataloger kan ikke redigeres

I El Capitan kan ikke innholdet i bestemte mapper endres av brukeren eller noe program brukeren kan velge å kjøre. Hvilke mapper?

• /System
• /bin
• / usr (unntatt “/ usr / local”)
• /sbin

Testing av dette er enkelt: ta turen til Terminal og prøv å lage en ny katalog i /System. Det vil ikke fungere:

Dette betyr at du og alle programmer du kan velge å kjøre, ikke kan gjøre noen endringer i OS X - selv om du er rotbruker, og selv om du skriver passordet. Dette betyr også at malware og hackere ikke kan endre noe i mappene.

Enhver applikasjon som delvis arbeidet med å gjøre endringer i disse mappene, fungerer ikke i El Capitan, full stopp, uten noen form for oppdatering.

Og denne endringen er tilbakevirkende kraft, noe som betyr at hvis du har gjort noe for å redigere OS X tidligere, vil endringene pågå å gå tilbake når du oppgraderer til El Capitan - men du kan gjenopprette alle filene og endringene, hvis du vil, de er i /Library/SystemMigration.

Hellige Helvete. Når du installerer Mac OS X 10.11 "El Jefe", flytter rotløs en * haug * med ting til / Bibliotek / SystemMigration / Jeg har ting fra 2006!

- Rosyna Keller (@rosyna) 21. september 2015

Ikke mer å injisere ting i minnet

Har du noen gang brukt EasySIMBL, som lar deg tilpasse nesten hva som helst på Mac-en Tilpass nesten alt på din Mac med EasySIMBLFra å gjemme menylinjen når visse applikasjoner er åpne for å legge inn Instagram-bilder i den offisielle Twitter-appen, kan du gjøre ting med EasySIMBL du sannsynligvis ikke visste at var mulig. Les mer ? Dette programmet kan legge til funksjonalitet til programmer og OS X selv, og oppnår dette ved å injisere kode i et for tiden kjørende program. For eksempel: en plugin for EasySIMBL fikk Twitters offisielle Mac-klientstøtte innebygde bilder fra Instagram, en funksjon den ellers ikke har.

Dette kan være veldig kult, men det bruker også den nøyaktige metodikken som mange vanlige malware bruker for å gjøre alle slags ekle ting. Det er ikke lenger mulig i El Capitan.

@ jolan78@comex easysimbl er ødelagt den 10.10.3+. fremtiden er ganske dyster takket være rotløs uansett (med vilje ikke lett å deaktivere)

—?????? 3G??? x??? (@Hbkirb) 22. august 2015

Dette bryter ting som EasySIMBL, og det populære lommelykt-plugin-systemet for Spotlight Legg superkrefter til søkelyset med dette uoffisielle plugin-systemetTa med Google, Wolfram Alpha, været og omtrent hva som helst annet til Spotlight. Les mer , på El Capitan - men forhindrer også alle slags teoretisk mulig skadelig programvare.

Ikke flere usignerte kjerneutvidelser

Kjerneutvidelser er deler av programvare som samhandler direkte med systemets kjernen. De fleste Mac-brukere vil sannsynligvis aldri installere en kjerneutvidelse, med mindre de trenger drivere for en slags tredjeparts maskinvare.

. @ZetesIndustries kan du få driverne for "den bestselgende eid-leseren" signert for Mac OS. Sikkerhet er viktig. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25. januar 2015

Og fra nå av må alle kjerneutvidelser - inkludert drivere - signeres for å kunne kjøre. Dette betyr at hvis du stoler på et stykke maskinvare som er avhengig av en usignert driver, vil ikke den driveren laste i El Capitan - enhetsprodusenten må slippe en signert driver, eller du kan ikke bruke den maskinvare.

Slå av SIP / Rootless In El Capitan

Disse endringene vil uten tvil forbedre sikkerheten - men noen mennesker føler at det ikke er verdt å miste friheten.

Mac Os X El Capitan er et mareritt for utviklere med *** rotløs implementering

- Necromant2005 (@ necromant2005) 5. oktober 2015

Enten du er enig i disse klagene, eller bare stoler på apper eller maskinvare som ikke fungerer med SIP aktivert, er det mulig å slå av denne sikkerhetsfunksjonen.

Systemintegritetsbeskyttelse kan ikke deaktiveres fra selve operativsystemet: du må starte på OS X-utvinning. Slå av Mac-maskinen, og hold deretter CMD + R mens den starter opp.

Når systemet har lastet inn OS X-utvinning, laster du det Terminal fra menylinjen, og skriv deretter inn csrutil deaktivere og slo Tast inn. Hvis du senere vil slå SIP / rootless på igjen, gjenta denne prosessen, men skriv csrutil aktivere i terminalen.

Alternativt kan du ganske enkelt ikke installere El Capitan på en stund - det kan du få de fantastiske funksjonene uten å oppgradere Ikke vent, få OS X 11.10 El Capitan-funksjoner akkurat nå i YosemiteSelv om det er noen få nye funksjoner og forbedringer som kommer til OS X 11.10, kan du få de fleste av de kommende funksjonene ved å installere tredjepartsprogramvare i dag. Les mer uansett.

Andre forskjellige sikkerhetsoppdateringer

SIP er ikke den eneste nye sikkerhetsfunksjonen i El Capitan - bare den mest bemerkelsesverdige. Du kan lese Apples lange liste over sikkerhetsoppdateringer for OS X, hvis du vil, men her er noen høydepunkter:

• Mange endringer i appene for å beskytte nøkkelringtilgang.
• Forbedrede krypteringsalgoritmer.
• Endringer i EFI for å forhindre manipulering av hele systemet.
• En forbedret form for tofaktorautentisering Hva er tofaktorautentisering, og hvorfor du bør bruke denTo-faktor autentisering (2FA) er en sikkerhetsmetode som krever to forskjellige måter å bevise identiteten din på. Det brukes ofte i hverdagen. For eksempel å betale med kredittkort krever ikke bare kortet, ... Les mer for iCloud-brukere.

Sikkerhet eller frihet?

ugh, å måtte slå av rotløs modus i el capitan slik at jeg kan bytte ut Mac-ikonene mine føles rare

- Zach Smith (@Zacitus) 24. juli 2015

Jeg har snakket om hvordan de nye sikkerhetsfunksjonene til El Capitan er slutten på Mac-tilpasningen El Capitan betyr slutten på Mac-temaer og Deep System TweaksHvis du liker å tilpasse Mac-en din, kan Yosemite være den siste versjonen av OS X som fungerer for deg. Og det er for ille. Les mer , og kommentarene jeg ble overrasket over - folk sa i utgangspunktet “Så hva?”.

Kanskje flere Mac-brukere er enige i dette: at de heller vil ha sikkerhetsfunksjoner som SIP enn muligheten til å finpusse ting. Jeg vil vite hva du synes: er det en avveining her, og er det verdt det? La oss snakke om dette i kommentarene.

Bildekreditter: “Smørbrød”Takket være XKCD