Čo používatelia počítačov Mac potrebujú vedieť o zabezpečení El Capitan

Reklama

Používatelia počítačov Mac: OS X 10.11 El Capitan je tu a je to skvelé OS X El Capitan je tu! Inovujte pre hladší zážitok zo systému MacMac OS X El Capitan je jemné vydanie: jeho najväčšie zmeny nie sú viditeľné - pravdepodobne si ich však všimnete. Čítaj viac . Väčšina používateľov získa výrazné zvýšenie výkonu a sú tu niektoré (relatívne malé) nové funkcie.

Ale čo je najväčšia zmena, ktorú tentokrát spoločnosť Apple urobila? Bezpečnosť. OS X je teraz zablokovaný, takže ani užívatelia root nemôžu modifikovať operačný systém - poďme sa pozrieť, čo to znamená, že?

Ochrana integrity systému: root tu nemá žiadnu energiu

Pamätáte si na túto starú karikatúru?

Nechápem to? V mnohých systémoch podobných UNIX - vrátane OS X - príkaz sudo znamená superužívateľ. Ak zadáte príkaz sudo pred príkaz, za predpokladu, že váš používateľský účet je správca, umožňuje vám robiť veci, ktoré inak nemôžete urobiť.

V podstate, ak ste superužívateľ, môžete robiť čokoľvek - pokiaľ, samozrejme, nepoužívate El Capitan. V tejto verzii OS X nemôžete vôbec upravovať základné systémové súbory bez ohľadu na to, či ste root.

Je to kvôli Ochrana integrity systému (SIP) - niekedy nazývané bez koreňov - nová funkcia, ktorá znamená, že používatelia a softvér tretích strán, vrátane škodlivého softvéru, nemôžu meniť základné systémové súbory.

Stručne povedané, SIP znamená, že:

• Súbory jadra systému nemôžu byť prepisované, dokonca ani užívatelia root.
• Systém už nepovoľuje vkladanie kódu do chránených procesov.
• Je možné spustiť iba podpísané rozšírenia jadra - žiadne výnimky.

Základnou myšlienkou je, že ak tieto základné súbory nemôžete upraviť, malware ani hackeri nemôžu. Existujú však potenciálne nevýhody, najmä ak ste typ používateľa, ktorý rád hackuje alebo prispôsobuje veci.

Systémové adresáre nie je možné upravovať

V El Capitan nemôže obsah určitých priečinkov meniť používateľ ani žiadny program, ktorý by užívateľ mohol spustiť. Ktoré priečinky?

• /System
• /bin
• / usr (okrem „/ usr / local“)
• /sbin

Testovanie je jednoduché: zamierte do terminál a skúste vytvoriť nový adresár v systéme Windows /System. Nebude to fungovať:

To znamená, že vy ani žiadne programy, ktoré sa rozhodnete spustiť, nemôžete v systéme OS X vykonať žiadne zmeny - aj keď ste root a dokonca aj keď zadáte heslo. To tiež znamená, že malware a hackeri nemôžu v týchto priečinkoch nič meniť.

Akákoľvek aplikácia, ktorá čiastočne pracovala na vykonaní zmien v týchto priečinkoch, nebude fungovať v El Capitan, bodka bez nejakej aktualizácie.

A táto zmena je retroaktívna, čo znamená, že ak ste v minulosti urobili niečo pre úpravu OS X, tieto zmeny sa uskutočnia aby ste sa vrátili po inovácii na El Capitan - ale môžete obnoviť všetky súbory a zmeny, ak chcete, sú v /Library/SystemMigration.

Sväté peklo. Keď nainštalujete Mac OS X 10.11 „El Jefe“, bez rootov presunie množstvo súborov * do / Library / SystemMigration / Mám veci od roku 2006!

- Rosyna Keller (@rosyna) 21. september 2015

Žiadne ďalšie vstrekovanie vecí do pamäte

Už ste niekedy použili EasySIMBL, ktorý vám umožní prispôsobiť takmer všetko na vašom počítači Mac Prispôsobte si takmer všetko na počítači Mac pomocou programu EasySIMBLOd skrývania menu, keď sú otvorené niektoré aplikácie, až po vkladanie obrázkov Instagramu do oficiálnej aplikácie Twitter, môžete robiť veci s programom EasySIMBL, o ktorom ste pravdepodobne nevedeli, že je to možné. Čítaj viac ? Tento program môže pridať funkčnosť programom a samotnému OS X, a to pomocou vloženia kódu do aktuálne bežiaceho programu. Napríklad: jeden doplnok pre EasySIMBL priniesol Twitteru oficiálny Mac klient podporujúci vložené obrázky z Instagramu, funkciu, ktorú inak nemá.

Môže to byť naozaj super, ale používa sa aj presná metodika, ktorú používa veľa bežných škodlivých kódov na vykonávanie najhorších vecí. V El Capitane už nie je možné.

@ jolan78@comex easysimbl je prerušený 10.10.3+. budúcnosť je napriek tomu beznádejná (bez zámerného odstránenia) celkom bezútešná

—?????? 3G? ??X??? (@Hbkirb) 22. augusta 2015

Rozbijú sa veci ako EasySIMBL a populárny systém doplnkov Flashlight pre Spotlight Pomocou tohto neoficiálneho systému doplnkov pridajte superveľmociPrineste Google, Wolfram Alpha, počasie a takmer čokoľvek iné, k reflektoru. Čítaj viac , na El Capitan - ale tiež zabraňuje všetkým možným škodlivým softvérom.

Žiadne ďalšie nepodpísané rozšírenia jadra

Rozšírenia jadra sú kúsky softvéru, ktoré interagujú priamo s jadrom systému. Väčšina používateľov počítačov Mac pravdepodobne nikdy nenainštaluje rozšírenie jadra, pokiaľ nepotrebujú ovládače pre nejaký druh hardvéru tretej strany.

. @ZetesIndustries získajte ovládače pre „najpredávanejší čítač eid“ podpísaný pre Mac OS. Bezpečnosť je dôležitá. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25. januára 2015

A odteraz musia byť všetky rozšírenia jadra - vrátane ovládačov - podpísané, aby mohli bežať. To znamená, že ak sa spoliehate na hardvér, ktorý sa spolieha na nepodpísaného ovládača, tento ovládač sa nenačíta v El Capitan - výrobca vášho zariadenia musí prepustiť podpísaného ovládača, inak ho nebudete môcť použiť hardware.

Vypnutie protokolu SIP / Rootless v El Capitane

Tieto zmeny bezpochyby zlepší bezpečnosť - ale niektorí ľudia majú pocit, že to nestojí za stratu slobody.

Mac Os X El Capitan je nočnou morou pre vývojárov s *** implementáciou bez rootov

- Necromant2005 (@ necromant2005) 5. októbra 2015

Bez ohľadu na to, či s týmito sťažnosťami súhlasíte, alebo sa jednoducho spoliehate na aplikácie alebo hardvér, ktoré nefungujú s povoleným protokolom SIP, je možné túto funkciu zabezpečenia vypnúť.

Ochranu integrity systému nie je možné zakázať v samotnom OS: do ktorého musíte zaviesť systém Obnova OS X. Vypnite počítač Mac a podržte CMD + R kým sa rozbieha.

Akonáhle systém načíta OS X Recovery, načítajte terminál z menu, potom napíšte csrutil vypnúť a zasiahla vstúpiť. Ak chcete neskôr zapnúť SIP / rootless, opakujte tento postup, ale napíšte csrutil povoliť v termináli.

Prípadne jednoducho nemôžete nainštalovať El Capitan na chvíľu - môžete získate skvelé funkcie bez inovácie Nečakajte, získajte funkcie OS X 11.10 El Capitan práve teraz v YosemiteAj keď systém OS X 11.10 prichádza s niekoľkými peknými novými funkciami a vylepšeniami, väčšinu nadchádzajúcich funkcií môžete získať nainštalovaním softvéru tretích strán ešte dnes. Čítaj viac tak ako tak.

Ďalšie rôzne bezpečnostné záplaty

SIP nie je jediným novým bezpečnostným prvkom v El Capitan - len tým najpozoruhodnejším. Môžeš čítať Dlhý zoznam aktualizácií zabezpečenia spoločnosti OS X od spoločnosti Apple, ak sa vám páči, ale uvádzame niekoľko zaujímavostí:

• Mnoho zmien v aplikáciách na ochranu prístupu ku kľúčovým slovám.
• Vylepšené šifrovacie algoritmy.
• Zmeny EFI s cieľom zabrániť neoprávnenej manipulácii v celom systéme.
• Vylepšená forma dvojfaktorová autentifikácia Čo je dvojfaktorové overenie a prečo by ste ho mali používaťDvojfaktorová autentifikácia (2FA) je bezpečnostná metóda, ktorá vyžaduje dva rôzne spôsoby preukázania vašej identity. Bežne sa používa v každodennom živote. Napríklad platenie kreditnou kartou si vyžaduje nielen kartu, ... Čítaj viac pre používateľov iCloud.

Bezpečnosť alebo sloboda?

Ugh, musel vypnúť bez rootov režim v El Capitan, aby som mohol nahradiť ikony môjho mac cíti divne

- Zach Smith (@ Zacitus) 24. júla 2015

Hovoril som o tom, aké sú nové bezpečnostné funkcie El Capitanu koniec prispôsobenia systému Mac El Capitan znamená koniec motívov Mac & Deep System TweaksAk sa vám páči prispôsobenie vášho počítača Mac, môže byť Yosemite poslednou verziou OS X, ktorá vám vyhovuje. A to je príliš zlé. Čítaj viac a komentáre, ktoré ma prekvapili - ľudia v podstate povedali „Tak čo?“.

Možno s tým súhlasí viac používateľov počítačov Mac: že by radšej mali funkcie zabezpečenia, ako je SIP, než schopnosť vylepšovať veci. Chcem vedieť, čo si myslíte: je tu kompromis a stojí to za to? Porozprávajme sa o tom v komentároch.

Obrázkové kredity: “sendvič“So súhlasom XKCD