Wie wir alle wahrscheinlich wissen, hat El Capitan SIP eingeführt. Obwohl es eine hervorragende Sicherheitsmaßnahme ist, hat es auch viele praktische Tools und Dienstprogramme deaktiviert, auf die ich mich verlassen habe - zum BeispielAseptikund einige Dienstprogramme zu Wine.
Bisher bin ich bei Yosemite geblieben, um diese Tools weiterhin mit nativer Unterstützung verwenden zu können. Jetzt, da Sierra herausgekommen ist und ich zwei Hauptversionen des Betriebssystems hinterherhinke, möchte ich die Vor- und Nachteile eines Upgrades abwägen. Verliere ich nämlich durch die Deaktivierung von SIP bei Sierra an Sicherheit, als wenn ich bei Yosemite bleibe, oder gehe ich in beiden Fällen dieselben Sicherheitsrisiken ein?
DerArgumentegegenSIP deaktivierenSindgut dokumentiert, daher möchte ich Antworten wie „SIP ist wichtiger als Ihre Tools“ vermeiden. Angenommen, meine Tools haben höchste Priorität, was ist für mich die sicherste Umgebung, in der ich sie verwenden kann?
Antwort1
Wenn Sie bei einer älteren Version des Betriebssystems bleiben, erhalten Sie natürlich nicht die verschiedenenandereSicherheitsverbesserungen in den neuesten Versionen (bessere SSL/TLS-Verschlüsselung, Sierras Verbesserungen beim Umgang von Gatekeeper mit Disk-Images usw.).
Apple scheint normalerweise nur Sicherheitspatches für die letzten 2 oder 3 Versionen des Betriebssystems zu veröffentlichen. Seit der Veröffentlichung von Sierra ist Yosemitekönnteweiterhin Patches erhalten. Für eine Weile. Vielleicht.
Andererseits bedeutet das Upgrade und Deaktivieren von SIP, dass Sie die Kext-Signaturanforderungen verlieren, die Yosemite hatte. Diese wurden in El Capitan in SIP integriert, und wenn Sie SIP deaktivieren, verschwinden diese ebenfalls.
Auf der Greifseite ist es möglich,teilweiseDeaktivieren Sie SIP, indem Sie nur die Teile ausschalten, die Ihre Tools beeinträchtigen, während Sie andere Teile (z. B. Kext-Signierung) aktiviert lassen. Wenn Sie beispielsweise DTrace benötigen, die anderen SIP-Einschränkungen jedoch in Ordnung sind, können Sie im Wiederherstellungsmodus starten und den Befehl ausführen
csrutil enable --without dtrace.Möglicherweise müssen Sie experimentieren, um herauszufinden, welche Teile von SIP ausgeschaltet werden müssen, damit Ihre Tools funktionieren. Die Optionen sind
--without kext,--without fs,--without debug,--without dtrace,--without nvram, und--no-internal. Sie können den aktuellen Status mit überprüfencsrutil status(obwohl dies den Betriebsstatus anzuzeigen scheint, nicht die konfigurierten Einstellungen, was bedeutet, dass es erst nach einem Neustart aktualisiert wird). Sie können die Konfiguration auch mit auf die Standardeinstellungen zurücksetzencsrutil clear.Das wäre also meine Empfehlung: Führen Sie ein Update durch und deaktivieren Sie dann gezielt nur die Teile von SIP, die Ihre Tools beeinträchtigen.
Übrigens ist diese Funktion zur teilweisen Deaktivierung nicht sehr gut dokumentiert, aber ich habe Diskussionen darüber gefundenauf apple.SE, sowieHier,Hier, UndHier.