¿Es más seguro permanecer en Yosemite o usar Sierra con SIP desactivado?

Question

Seguir con una versión anterior del sistema operativo obviamente significa que no obtendrás las diversasotromejoras de seguridad en las versiones más recientes (mejor criptografía SSL/TLS, mejoras de Sierra en cómo Gatekeeper maneja las imágenes de disco, etc.).
Apple generalmente parece lanzar parches de seguridad solo para las 2 o 3 versiones más recientes del sistema operativo. Desde el lanzamiento de Sierra, Yosemitepodríaseguir recibiendo parches. Por un momento. Tal vez.
Por otro lado, actualizar y desactivar SIP significa que se pierden los requisitos de firma de kext que tenía Yosemite. Estos se incorporaron a SIP en El Capitán, por lo que cuando desactivas SIP, también desaparecen.
En la mano que agarra, es posibleparcialmentedeshabilite SIP, apagando solo las partes que interfieren con sus herramientas, mientras deja otras partes (por ejemplo, firma kext) habilitadas. Por ejemplo, si necesita que DTrace funcione pero las otras restricciones SIP están bien, puede comenzar en modo de recuperación y ejecutar el comando csrutil enable --without dtrace.

Es posible que tengas que experimentar para ver qué partes de SIP deben desactivarse para que funcionen tus herramientas. Las opciones son --without kext, --without fs, --without debug, --without dtrace, --without nvramy --no-internal. Puede verificar el estado actual con csrutil status(aunque esto parece mostrar el estado de ejecución, no las configuraciones configuradas, lo que significa que no se actualiza hasta que reinicie). También puedes borrar la configuración predeterminada con csrutil clear.

Entonces esa sería mi recomendación: actualice, luego desactive quirúrgicamente solo las partes de SIP que interfieren con sus herramientas.

Por cierto, esta función de desactivación parcial no está muy bien documentada, pero encontré discusiones al respecto.en Apple.SE, así comoaquí,aquí, yaquí.

Answer 1

Seguir con una versión anterior del sistema operativo obviamente significa que no obtendrás las diversasotromejoras de seguridad en las versiones más recientes (mejor criptografía SSL/TLS, mejoras de Sierra en cómo Gatekeeper maneja las imágenes de disco, etc.).
Apple generalmente parece lanzar parches de seguridad solo para las 2 o 3 versiones más recientes del sistema operativo. Desde el lanzamiento de Sierra, Yosemitepodríaseguir recibiendo parches. Por un momento. Tal vez.
Por otro lado, actualizar y desactivar SIP significa que se pierden los requisitos de firma de kext que tenía Yosemite. Estos se incorporaron a SIP en El Capitán, por lo que cuando desactivas SIP, también desaparecen.
En la mano que agarra, es posibleparcialmentedeshabilite SIP, apagando solo las partes que interfieren con sus herramientas, mientras deja otras partes (por ejemplo, firma kext) habilitadas. Por ejemplo, si necesita que DTrace funcione pero las otras restricciones SIP están bien, puede comenzar en modo de recuperación y ejecutar el comando csrutil enable --without dtrace.

Es posible que tengas que experimentar para ver qué partes de SIP deben desactivarse para que funcionen tus herramientas. Las opciones son --without kext, --without fs, --without debug, --without dtrace, --without nvramy --no-internal. Puede verificar el estado actual con csrutil status(aunque esto parece mostrar el estado de ejecución, no las configuraciones configuradas, lo que significa que no se actualiza hasta que reinicie). También puedes borrar la configuración predeterminada con csrutil clear.

Entonces esa sería mi recomendación: actualice, luego desactive quirúrgicamente solo las partes de SIP que interfieren con sus herramientas.

Por cierto, esta función de desactivación parcial no está muy bien documentada, pero encontré discusiones al respecto.en Apple.SE, así comoaquí,aquí, yaquí.

¿Es más seguro permanecer en Yosemite o usar Sierra con SIP desactivado?

Respuesta1

información relacionada