Co uživatelé Mac potřebují vědět o zabezpečení El Capitan

reklama

Uživatelé Mac: OS X 10.11 El Capitan je tady a je to docela skvělé OS X El Capitan je tady! Upgradujte pro hladší prostředí MacMac OS X El Capitan je důvtipné vydání: jeho největší změny nejsou viditelné - ale pravděpodobně si je stejně všimnete. Přečtěte si více . Většina uživatelů získá znatelné zvýšení výkonu a jsou zde některé (relativně malé) nové funkce.

Ale co je tentokrát největší změna, kterou Apple udělal? Bezpečnostní. OS X je nyní uzamčen, takže i uživatelé root nemohou operační systém modifikovat - pojďme se podívat, co to znamená, že?

Ochrana integrity systému: Root zde nemá žádnou energii

Pamatujete si na tuto starou karikaturu?

Nechápete to? V mnoha systémech typu UNIX - včetně OS X - příkaz sudo znamená superuživatel. Pokud před příkaz uvedete „sudo“, za předpokladu, že váš uživatelský účet je administrátor, umožňuje vám dělat věci, které jinak nemůžete udělat.

V zásadě, pokud jste superuživatel, můžete dělat cokoli - pokud ovšem samozřejmě nepoužíváte El Capitan. V této verzi OS X nemůžete vůbec upravovat základní systémové soubory, bez ohledu na to, zda jste root.

Je to kvůli Ochrana integrity systému (SIP) - někdy se nazývá bez kořenů - nová funkce, která znamená, že uživatelé a software třetích stran, včetně malwaru, nemohou změnit základní systémové soubory.

Stručně řečeno, SIP znamená, že:

• Základní systémové soubory nelze přepisovat, a to ani u uživatelů root.
• Systém již nepovoluje vkládání kódu do chráněných procesů.
• Lze spustit pouze podepsaná rozšíření jádra - žádné výjimky.

Základní myšlenkou je, že pokud tyto základní soubory nemůžete upravit, malware ani hackeři nemohou. Existují však některé potenciální nevýhody, zejména pokud jste typ uživatele, který rád hackuje nebo přizpůsobuje věci.

Systémové adresáře nelze upravovat

V El Capitanu nemůže obsah určitých složek měnit uživatel ani žádný program, který by uživatel mohl spustit. Které složky?

• /System
• /bin
• / usr (kromě „/ usr / local“)
• /sbin

Testování je jednoduché: zamiřte do Terminál a zkuste vytvořit nový adresář v /System. Nebude to fungovat:

To znamená, že vy a všechny programy, které se rozhodnete spustit, nemůžete v systému OS X provádět žádné změny - a to ani v případě, že jste uživatel root, ani když zadáte heslo. To také znamená, že malware a hackeři nemohou v těchto složkách nic změnit.

Žádná aplikace, která částečně pracovala na provádění změn v těchto složkách, nebude fungovat v El Capitanu, bodka, bez nějaké aktualizace.

A tato změna je retroaktivní, což znamená, že pokud jste v minulosti udělali něco pro úpravu OS X, tyto změny se dějí když se vrátíte, když upgradujete na El Capitan - ale můžete obnovit všechny soubory a změny, pokud chcete, jsou v /Library/SystemMigration.

Svaté peklo. Když nainstalujete Mac OS X 10.11 „El Jefe“, rootless přesune spoustu věcí do / Library / SystemMigration / Mám věci od roku 2006!

- Rosyna Keller (@rosyna) 21. září 2015

Žádné další vstřikování věcí do paměti

Už jste někdy použili EasySIMBL, který vám umožní přizpůsobit téměř cokoli v počítači Mac Přizpůsobte si na svém počítači téměř cokoli s EasySIMBLOd skrytí menu, když jsou otevřené některé aplikace, až po vkládání obrázků Instagramu do oficiální aplikace Twitter, můžete dělat věci pomocí EasySIMBL, o kterých jste pravděpodobně nevěděli, že jsou možné. Přečtěte si více ? Tento program může přidat funkčnost programům a samotnému OS X, čehož lze dosáhnout vložením kódu do aktuálně spuštěného programu. Například: jeden plugin pro EasySIMBL přiměl Twitteru oficiální Mac klientskou podporu vložených obrázků z Instagramu, funkce, kterou jinak nemá.

To může být opravdu skvělé, ale používá se také přesná metodika, kterou mnoho běžných malwaru používá k provádění nejrůznějších ošklivých věcí. V El Capitanu to již není možné.

@ jolan78@comex easysimbl je přerušen 10.10.3+. budoucnost je bezútěšná díky kořenovým adresám (záměrně není snadné deaktivovat)

—?????? 3G? ??X??? (@hbkirb) 22. srpna 2015

Tím se rozbijí věci jako EasySIMBL a populární Flashlight plugin systém pro Spotlight Pomocí tohoto neoficiálního systému pluginů přidejte supervelmociPřineste Google, Wolfram Alpha, počasí a téměř cokoli jiného k Spotlight. Přečtěte si více , na El Capitanu - ale také zabraňuje všemožným možným škodlivým softwarem.

Žádné další nepodepsané rozšíření jádra

Rozšíření jádra jsou části softwaru, které interagují přímo s jádrem systému. Většina uživatelů Mac pravděpodobně nebude nikdy instalovat rozšíření jádra, pokud nepotřebují ovladače pro nějaký druh hardwaru třetích stran.

. @ ZetesIndustries získejte ovladače pro „nejprodávanější čtečku eidů“ podepsané pro Mac OS. Bezpečnost je důležitá. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25. ledna 2015

A od nynějška musí být všechna rozšíření jádra - včetně ovladačů - podepsána, aby mohla být spuštěna. To znamená, že pokud se spoléháte na hardware, který se spoléhá na nepodepsaný ovladač, tento ovladač se nenačte v El Capitan - výrobce vašeho zařízení musí uvolnit podepsaný ovladač, jinak jej nebudete moci použít Hardware.

Vypnutí SIP / Rootless v El Capitanu

Tyto změny bezpochyby zlepší bezpečnost - ale někteří lidé mají pocit, že nestojí za ztrátu svobody.

Mac Os X El Capitan je noční můrou pro vývojáře s *** kořenovou implementací

- Necromant2005 (@ necromant2005) 5. října 2015

Ať už s těmito stížnostmi souhlasíte, nebo se jednoduše spolehnete na aplikace nebo hardware, které nepracují s povoleným protokolem SIP, je možné tuto bezpečnostní funkci vypnout.

Systémovou integritu Protection nelze zakázat v samotném operačním systému: do kterého musíte zavést systém Obnova OS X. Vypněte počítač Mac a podržte CMD + R zatímco to začíná.

Jakmile systém načte OS X Recovery, nahrajte Terminál z nabídky a zadejte csrutil zakázat a zasáhnout Vstoupit. Pokud chcete později zapnout SIP / rootless, opakujte tento proces, ale napište csrutil povolit v terminálu.

Případně byste nemohli jednoduše nainstalovat El Capitana na chvíli - můžete získejte skvělé funkce bez upgradu Nečekejte, získejte OS X 11.10 funkce El Capitan právě teď v YosemitePřestože v systému OS X 11.10 přichází několik pěkných nových funkcí a vylepšení, většinu připravovaných funkcí můžete získat instalací softwaru třetích stran ještě dnes. Přečtěte si více tak jako tak.

Další různé bezpečnostní záplaty

SIP není v El Capitanu jediným novým bezpečnostním prvkem - nejpozoruhodnější. Umíš číst Dlouhý seznam aktualizací zabezpečení OS X společnosti Apple, pokud se vám líbí, ale zde je několik nejdůležitějších informací:

• Mnoho změn v aplikacích, které chrání přístup keychainů.
• Vylepšené šifrovací algoritmy.
• Změny EFI, aby se zabránilo neoprávněné manipulaci v celém systému.
• Vylepšená forma dvoufaktorové ověřování Co je dvoufaktorové ověření a proč byste ho měli používatDvoufázové ověřování (2FA) je bezpečnostní metoda, která vyžaduje dva různé způsoby prokázání vaší identity. Běžně se používá v každodenním životě. Například platba kreditní kartou vyžaduje nejen kartu, ... Přečtěte si více pro uživatele iCloud.

Bezpečnost nebo svoboda?

Ugh, musel jsem vypnout bez kořenového režimu v el capitanu, abych mohl nahradit ikony mého mac cítí divně

- Zach Smith (@ Zacitus) 24. července 2015

Mluvil jsem o tom, jak jsou nové bezpečnostní funkce El Capitana konec přizpůsobení systému Mac El Capitan znamená konec motivů Mac & Deep System TweaksPokud si přejete přizpůsobit svůj Mac, může být Yosemite poslední verzí OS X, která vám vyhovuje. A to je moc špatné. Přečtěte si více a komentáře, které mě překvapily - lidé v podstatě řekli „Tak co?“.

Možná s tím souhlasí více uživatelů počítačů Mac: že by raději měli funkce zabezpečení, jako je SIP, než schopnost vyladit věci. Chci vědět, co si myslíte: je tady kompromis a stojí to za to? Pojďme si to promluvit v komentářích.

Image Credits: “Sendvič“S laskavým svolením XKCD