É mais seguro permanecer no Yosemite ou usar o Sierra com o SIP desativado?

Question

Ficar com uma versão mais antiga do sistema operacional obviamente significa que você não terá os váriosoutromelhorias de segurança nas versões mais recentes (melhor criptografia SSL/TLS, melhorias do Sierra na forma como o Gatekeeper lida com imagens de disco, etc.).
A Apple geralmente parece lançar patches de segurança apenas para as 2 ou 3 versões mais recentes do sistema operacional. Desde o lançamento do Sierra, Yosemitepodercontinuar recebendo patches. Por um tempo. Talvez.
Por outro lado, atualizar e desligar o SIP significa que você perderá os requisitos de assinatura kext que o Yosemite tinha. Eles foram transferidos para o SIP no El Capitan e, quando você desliga o SIP, eles também desaparecem.
Na mão emocionante, é possívelparcialmentedesabilite o SIP, desligando apenas as partes que interferem em suas ferramentas, enquanto deixa outras partes (por exemplo, assinatura kext) habilitadas. Por exemplo, se você precisa que o DTrace funcione, mas as outras restrições SIP estão ok, você pode iniciar no modo de recuperação e executar o comando csrutil enable --without dtrace.

Talvez seja necessário experimentar para ver quais partes do SIP precisam ser desativadas para que suas ferramentas funcionem. As opções são --without kext, --without fs, --without debug, --without dtrace, --without nvrame --no-internal. Você pode verificar o status atual com csrutil status(embora pareça mostrar o status de execução, não as configurações definidas, o que significa que não é atualizado até você reiniciar). Você também pode limpar a configuração de volta ao padrão com csrutil clear.

Então essa seria minha recomendação: atualize e depois faça uma desativação cirúrgica apenas das partes do SIP que interferem em suas ferramentas.

Aliás, esse recurso de desativação parcial não está muito bem documentado, mas encontrei discussões sobre elena apple.SE, assim comoaqui,aqui, eaqui.

Answer 1

Ficar com uma versão mais antiga do sistema operacional obviamente significa que você não terá os váriosoutromelhorias de segurança nas versões mais recentes (melhor criptografia SSL/TLS, melhorias do Sierra na forma como o Gatekeeper lida com imagens de disco, etc.).
A Apple geralmente parece lançar patches de segurança apenas para as 2 ou 3 versões mais recentes do sistema operacional. Desde o lançamento do Sierra, Yosemitepodercontinuar recebendo patches. Por um tempo. Talvez.
Por outro lado, atualizar e desligar o SIP significa que você perderá os requisitos de assinatura kext que o Yosemite tinha. Eles foram transferidos para o SIP no El Capitan e, quando você desliga o SIP, eles também desaparecem.
Na mão emocionante, é possívelparcialmentedesabilite o SIP, desligando apenas as partes que interferem em suas ferramentas, enquanto deixa outras partes (por exemplo, assinatura kext) habilitadas. Por exemplo, se você precisa que o DTrace funcione, mas as outras restrições SIP estão ok, você pode iniciar no modo de recuperação e executar o comando csrutil enable --without dtrace.

Talvez seja necessário experimentar para ver quais partes do SIP precisam ser desativadas para que suas ferramentas funcionem. As opções são --without kext, --without fs, --without debug, --without dtrace, --without nvrame --no-internal. Você pode verificar o status atual com csrutil status(embora pareça mostrar o status de execução, não as configurações definidas, o que significa que não é atualizado até você reiniciar). Você também pode limpar a configuração de volta ao padrão com csrutil clear.

Então essa seria minha recomendação: atualize e depois faça uma desativação cirúrgica apenas das partes do SIP que interferem em suas ferramentas.

Aliás, esse recurso de desativação parcial não está muito bem documentado, mas encontrei discussões sobre elena apple.SE, assim comoaqui,aqui, eaqui.

É mais seguro permanecer no Yosemite ou usar o Sierra com o SIP desativado?

Responder1

informação relacionada