우리 모두 알고 있듯이 El Capitan은 SIP를 도입했습니다. 이는 훌륭한 보안 조치이기는 하지만 제가 의존하게 된 많은 편리한 도구와 유틸리티도 비활성화되었습니다. 예를 들면 다음과 같습니다.무균 상태Wine에 대한 몇 가지 유틸리티.
지금까지 저는 기본 지원 하에 이러한 도구를 사용할 수 있기 위해 요세미티에 머물고 있습니다. 그러나 이제 Sierra는 출시되었고 두 가지 주요 OS 버전이 뒤처져 있으므로 업그레이드의 장단점을 비교해 보고 싶습니다. 즉, Sierra에서 SIP를 비활성화하면 Yosemite를 유지하는 것보다 덜 안전한 위치에 놓이게 됩니까, 아니면 어느 쪽이든 동일한 보안 위험을 감수하게 됩니까?
그만큼인수~에 맞서SIP 비활성화~이다잘 기록 된, 그래서 "도구를 갖는 것보다 SIP가 더 중요합니다"와 같은 대답은 피하고 싶습니다. 내 도구가 최우선 순위라고 가정할 때 도구를 사용할 수 있는 가장 안전한 환경은 무엇입니까?
답변1
이전 버전의 OS를 고수한다는 것은 분명히 다양한 이점을 얻을 수 없다는 것을 의미합니다.다른최신 버전의 보안 개선(더 나은 SSL/TLS 암호화, Gatekeeper가 디스크 이미지를 처리하는 방식에 대한 Sierra의 개선 등).
Apple은 일반적으로 최신 OS 버전 2~3개에 대해서만 보안 패치를 출시하는 것 같습니다. 시에라 출시 이후 요세미티는~할 것 같다계속해서 패치를 받아보세요. 잠시 동안. 아마도.
반면 SIP를 업그레이드하고 끄면 Yosemite의 kext 서명 요구 사항이 손실됩니다. 이러한 기능은 El Capitan에서 SIP로 통합되었으므로 SIP를 끄면 이러한 기능도 사라집니다.
쥐고 있는 손에서는 다음이 가능합니다.부분적으로SIP를 비활성화하고 도구를 방해하는 부분만 끄고 다른 부분(예: kext 서명)은 활성화합니다. 예를 들어, 작동하려면 DTrace가 필요하지만 다른 SIP 제한 사항은 괜찮은 경우 복구 모드에서 시작하여 명령을 실행할 수 있습니다
csrutil enable --without dtrace.도구가 작동하려면 SIP의 어느 부분을 꺼야 하는지 확인하기 위해 실험을 해야 할 수도 있습니다. 옵션은
--without kext,--without fs,--without debug,--without dtrace,--without nvram및 입니다--no-internal. 현재 상태를 확인할 수 있습니다csrutil status(구성된 설정이 아닌 실행 상태를 표시하는 것처럼 보이므로 재부팅할 때까지 업데이트되지 않음). 를 사용하여 구성을 다시 기본값으로 지울 수도 있습니다csrutil clear.따라서 이것이 제가 권장하는 사항입니다. 업데이트한 다음 도구를 방해하는 SIP 부분만 외과적으로 비활성화하는 것입니다.
그런데 이 부분 비활성화 기능은 잘 문서화되어 있지 않지만 이에 대한 토론을 찾았습니다.apple.SE에서, 게다가여기,여기, 그리고여기.