Vilka Mac-användare behöver veta om El Capitan Security
Mac-användare: OS X 10.11 El Capitan är här, och det är ganska bra OS X El Capitan är här! Uppgradera för en mjukare Mac Experience OS X El Capitan är här! Uppgradera för en mjukare Mac-upplevelse Mac OS X El Capitan är en subtil utgåva: dess största förändringar är inte synliga - men du kommer nog att märka dem. Läs mer . De flesta användare får en märkbar prestationsökning, och det finns några (relativt små) nya funktioner.
Men vad är den största förändringen Apple gjort den här gången? Säkerhet. OS X är nu så låst även roddanvändare kan inte ändra operativsystemet - låt oss gå över vad det betyder ska vi?
System Integritetsskydd: Root har ingen ström här
Kom ihåg den här gamla tecknen?
Får du inte det? Tja, i många UNIX-liknande system - inklusive OS X - kommandot sudo står för superanvändare. sätta “sudo” framför ett kommando, förutsatt att ditt användarkonto är en administratör, kan du göra saker som du inte annars kan.
I grund och botten, om du är en superanvändare, kan du göra någonting - om du självklart inte kör El Capitan. I den här versionen av OS X kan du inte redigera kärnsystemfiler alls, oavsett om du är root.
Detta beror på System Integrity Protection (SIP) - kallas ibland rotlös - En ny funktion som innebär att användare och program från tredje part, inklusive skadlig programvara, inte kan ändra kärna systemfiler.
För att sammanfatta innebär SIP att:
- Core-systemfiler kan inte skrivas om, även av root-användare.
- Injektionskoden till skyddade processer är inte längre tillåten av systemet.
- Endast signerade kärnförlängningar kan köras - inga undantag.
Grundidén här är det om du inte kan ändra dessa kärnfiler, varken kan skadlig kod eller hackare. Men det finns några potentiella nackdelar, särskilt om du är den typ av användare som gillar att hacka eller anpassa saker.
Systemkataloger kan inte redigeras
I El Capitan kan innehållet i vissa mappar inte ändras av användaren eller något program som användaren kan välja att köra. Vilka mappar?
- /Systemet
- / bin
- / usr (förutom “/ Usr / local”)
- / sbin
Testa detta är enkelt: huvudet till Terminal och försök att skapa en ny katalog i /Systemet. Det fungerar inte:
Det betyder att du, och alla program du kan välja att köra, inte kan göra några ändringar i OS X - även om du är en root-användare, och även om du skriver ditt lösenord. Det innebär också att skadlig programvara och hackare inte kan ändra något i de här mapparna.
Alla program som delvis fungerade genom att göra ändringar i dessa mappar kommer inte att fungera i El Capitan, helt stopp, utan någon form av uppdatering.
Och den här ändringen är retroaktiv, vilket betyder att om du har gjort någonting för att redigera OS X tidigare kommer dessa förändringar att återgå när du uppgraderar till El Capitan - men du kan återställa alla filer och ändras, om du vill, de är i / Bibliotek / SystemMigration.
Heliga helvete. När du installerar Mac OS X 10.11 "El Jefe" flyttar rotlösa en * massa * saker till / Bibliotek / SystemMigration / Jag har saker från 2006!
- Rosyna Keller (@rosyna) 21 september 2015
Inga mer injicerande saker i minnet
Har du någonsin använt EasySIMBL som gör att du kan anpassa nästan vad som helst på din Mac Anpassa nästan allt på din Mac Med EasySIMBL Anpassa nästan allt på din Mac med EasySIMBL Från att gömma menyraden när vissa program är öppna för att bädda in Instagram-bilder i den officiella Twitter-appen, du kan göra saker med EasySIMBL du säkert inte visste var möjligt. Läs mer ? Detta program kan lägga till funktionalitet till program och OS X själv och uppnår detta genom att injicera koden i ett program som för närvarande körs. Till exempel: En plugin för EasySIMBL gjorde Twitter: s officiella Mac-klientsupport inbäddade bilder från Instagram, en funktion som den inte annars har.
Det här kan vara riktigt coolt, men det använder också exakt metodiken som många vanliga malware använder för att göra alla möjliga otäcka saker. Det är inte längre möjligt i El Capitan.
@ jolan78 @comex easysimbl är trasig på 10.10.3+. Framtiden är ganska dyster tack vare rotlösa ändå (avsiktligt inte lätt att inaktivera)
- ???? ?????? 3G? ?? x ????? (@hbkirb) 22 augusti 2015
Detta bryter saker som EasySIMBL och det populära Flashlight-pluginsystemet för Spotlight Lägg till superpowers till strålkastare med det här officiella pluginsystemet Lägg superpowers till strålkastare med detta oofficiella pluginsystem Ta med Google, Wolfram Alpha, vädret och nästan allt annat till Spotlight. Läs mer, på El Capitan - men förhindrar också alla möjliga teoretiskt möjliga skadliga program.
Inga mer oanmälda kärneläggningar
Kärnan förlängningar är programstycken som interagerar direkt med systemets kärna. De flesta Mac-användare kommer förmodligen aldrig att installera en kärnförlängning, om inte de behöver drivrutiner för någon slags hårdvara från tredje part.
. @ZetesIndustries kan du få dina drivrutiner för "den mest sålda eid-läsaren" som skrivits för Mac OS. Säkerhet är viktigt. pic.twitter.com/nubvHiItTe
- Andrew Fecheyr (@andruby) 25 januari 2015
Och från och med nu måste alla kärnförlängningar - inklusive drivrutiner - vara signerade för att kunna köras. Det betyder att om du är beroende av en hårdvara som bygger på en osignerad drivrutin, kommer den här drivrutinen inte att laddas i El Capitan - din enhetstillverkare behöver släppa en signerad drivrutin eller det går inte att använda hårdvaran.
Stänger av SIP / Rootless i El Capitan
Dessa förändringar kommer utan tvekan att förbättra säkerheten - men vissa människor anser att det inte är värt att förlusten av frihet är värd.
Mac Os X El Capitan är en mardröm för utvecklare med *** rootless implementation
- Necromant2005 (@ necromant2005) 5 oktober 2015
Oavsett om du godkänner dessa klagomål, eller helt enkelt lita på appar eller maskinvara som inte fungerar med SIP-aktiverat, kan du stänga av den här säkerhetsfunktionen.
System Integrity Protection kan inte inaktiveras från själva operativsystemet: du måste starta till OS X Recovery. Stäng ner din Mac och håll sedan CMD + R medan det börjar.
När systemet laddar OS X Recovery, laddar du Terminal från menyraden skriver du sedan csrutil inaktivera och slå Stiga på. Om du senare vill aktivera SIP / rootless igen, upprepa den här processen, men skriv csrutil aktivera i terminalen.
Alternativt kan du helt enkelt inte installera El Capitan ett tag - du kan få de fantastiska funktionerna utan att uppgradera. Vänta inte, få OS X 11.10 El Capitan-funktioner just nu i Yosemite Vänta inte, få OS X 11.10 El Capitan-funktionerna Höger Nu i Yosemite Medan det finns några fina nya funktioner och förbättringar som kommer till OS X 11.10 kan du få de flesta av de kommande funktionerna genom att installera program från tredje part idag. Läs mer ändå.
Andra olika säkerhetspatcher
SIP är inte den enda nya säkerhetsfunktionen i El Capitan - bara den mest anmärkningsvärda. Du kan läsa Apples långa lista över säkerhetsuppdateringar från OS X, om du vill, men här är några höjdpunkter:
- Många ändringar i appar för att skydda nyckelringstillbehör.
- Förbättrade krypteringsalgoritmer.
- Ändringar i EFI för att förhindra övergripande manipulation.
- En förbättrad form av tvåfaktorsautentisering Vad är tvåfaktorautentisering och varför du borde använda det Vad är tvåfaktorautentisering och varför du ska använda den Tvåfaktorautentisering (2FA) är en säkerhetsmetod som kräver två olika sätt att bevisa din identitet Det används ofta i vardagen. Till exempel betalar med ett kreditkort krävs inte bara kortet, ... Läs mer för iCloud-användare.
Säkerhet eller frihet?
Du måste stänga av rotlöst läge i El Capitan så jag kan ersätta min Macs ikoner känns konstig
- Zach Smith (@Zacitus) 24 juli 2015
Jag har pratat om hur El Capitans nya säkerhetsfunktioner är slutet på Mac-anpassning. El Capitan betyder slutet på Mac Teman och Deep System Tweaks. El Capitan betyder slutet på Mac Teman och Deep System Tweaks Om du gillar att anpassa din Mac kan Yosemite kanske Var den senaste versionen av OS X som fungerar för dig. Och det är synd. Läs mer, och kommentarerna jag blev förvånad över - folk sa i grunden “Än sen då?”.
Kanske fler Mac-användare är överens med detta: att de hellre skulle ha säkerhetsfunktioner som SIP än möjligheten att anpassa saker. Jag vill veta vad du tycker: finns det en tradeoff här, och är det värt det? Låt oss prata om detta i kommentarerna.
Bildkrediter: “Smörgås” artighet av XKCD
Utforska mer om: Datorsäkerhet, OS X El Capitan.