皆さんご存知のとおり、El Capitan では SIP が導入されました。これは優れたセキュリティ対策ですが、私が頼りにしてきた多くの便利なツールやユーティリティが無効になってしまいました。たとえば、無菌そして Wine に関するいくつかのユーティリティ。
これまで、私はネイティブ サポートでこれらのツールを引き続き使用できるようにするために、Yosemite を使い続けてきました。しかし、Sierra がリリースされ、OS のメジャー バージョンが 2 つ遅れている今、アップグレードの長所と短所を検討したいと思います。つまり、Sierra で SIP を無効にすると、Yosemite を使い続ける場合よりもセキュリティが低下するのでしょうか。それとも、どちらにしても同じセキュリティ リスクを負うことになるのでしょうか。
の議論に対してSIPを無効にするは十分に文書化されたなので、「SIP はツールを持つことよりも重要です」というような回答は避けたいと思います。ツールが最優先事項であると仮定すると、ツールを使用するのに最も安全な環境は何でしょうか?
答え1
OSの古いバージョンを使い続けるということは、当然ながら、さまざまな他の最新バージョンでのセキュリティの改善 (SSL/TLS 暗号化の改善、Gatekeeper によるディスク イメージの処理方法に対する Sierra の改善など)。
Appleは通常、OSの最新の2つか3つのバージョンに対してのみセキュリティパッチをリリースしているようです。Sierraのリリース以来、Yosemiteかもしれないパッチを受け取り続けます。しばらくは。多分。
一方、SIP をアップグレードして無効にすると、Yosemite にあった kext 署名要件が失われます。これらは El Capitan の SIP に組み込まれたため、SIP を無効にすると、これらもなくなります。
一方で、部分的にSIP を無効にして、ツールに干渉する部分のみをオフにし、他の部分 (kext 署名など) は有効のままにします。たとえば、DTrace を動作させる必要があるが、その他の SIP 制限は問題ない場合、リカバリ モードで起動して、コマンドを実行できます
csrutil enable --without dtrace。ツールを動作させるために SIP のどの部分をオフにする必要があるかを調べるために実験する必要があるかもしれません。オプションは
--without kext、、、、、、およびです。現在のステータスは で確認できます(ただし、これは実行--without fsステータスを示して--without debugおり、構成された設定ではないため、再起動するまで更新されません)。 で設定をクリアしてデフォルトに戻すこともできます。--without dtrace--without nvram--no-internalcsrutil statuscsrutil clearしたがって、私の推奨事項は次のとおりです。更新してから、ツールに干渉する SIP の部分だけを徹底的に無効にします。
ちなみに、この部分的な無効化機能はあまり文書化されていないが、それに関する議論を見つけた。apple.SEで、 同様にここ、ここ、 そしてここ。