Что безопаснее: оставаться на Yosemite или использовать Sierra с отключенным SIP?

Question

Использование старой версии ОС, очевидно, означает, что вы не получите различные возможностидругойУлучшения безопасности в последних версиях (улучшенное шифрование SSL/TLS, усовершенствования Sierra в том, как Gatekeeper обрабатывает образы дисков и т. д.).
Apple обычно выпускает исправления безопасности только для последних 2 или 3 версий ОС. После выпуска Sierra YosemiteмощьПродолжайте получать патчи. Какое-то время. Может быть.
С другой стороны, обновление и отключение SIP означает, что вы теряете требования подписи kext, которые были в Yosemite. Они были включены в SIP в El Capitan, и поэтому, когда вы отключаете SIP, они также исчезают.
На сжимающей руке можночастичноотключите SIP, отключив только те части, которые мешают вашим инструментам, оставив другие части (например, подпись kext) включенными. Например, если вам нужно, чтобы DTrace работал, но другие ограничения SIP в порядке, вы можете запуститься в режиме восстановления и выполнить команду csrutil enable --without dtrace.

Возможно, вам придется поэкспериментировать, чтобы увидеть, какие части SIP необходимо отключить для работы ваших инструментов. Возможные варианты: --without kext, --without fs, --without debug, --without dtrace, --without nvram, и --no-internal. Вы можете проверить текущий статус с помощью csrutil status(хотя, похоже, это показывает текущий статус, а не настроенные параметры, то есть они не обновляются до перезагрузки). Вы также можете очистить конфигурацию до значений по умолчанию с помощью csrutil clear.

Так что вот моя рекомендация: обновите, а затем хирургически отключите только те части SIP, которые мешают вашим инструментам.

Кстати, эта функция частичного отключения не очень хорошо документирована, но я нашел ее обсуждения.на apple.SE, а такжездесь,здесь, издесь.

Answer 1

Использование старой версии ОС, очевидно, означает, что вы не получите различные возможностидругойУлучшения безопасности в последних версиях (улучшенное шифрование SSL/TLS, усовершенствования Sierra в том, как Gatekeeper обрабатывает образы дисков и т. д.).
Apple обычно выпускает исправления безопасности только для последних 2 или 3 версий ОС. После выпуска Sierra YosemiteмощьПродолжайте получать патчи. Какое-то время. Может быть.
С другой стороны, обновление и отключение SIP означает, что вы теряете требования подписи kext, которые были в Yosemite. Они были включены в SIP в El Capitan, и поэтому, когда вы отключаете SIP, они также исчезают.
На сжимающей руке можночастичноотключите SIP, отключив только те части, которые мешают вашим инструментам, оставив другие части (например, подпись kext) включенными. Например, если вам нужно, чтобы DTrace работал, но другие ограничения SIP в порядке, вы можете запуститься в режиме восстановления и выполнить команду csrutil enable --without dtrace.

Возможно, вам придется поэкспериментировать, чтобы увидеть, какие части SIP необходимо отключить для работы ваших инструментов. Возможные варианты: --without kext, --without fs, --without debug, --without dtrace, --without nvram, и --no-internal. Вы можете проверить текущий статус с помощью csrutil status(хотя, похоже, это показывает текущий статус, а не настроенные параметры, то есть они не обновляются до перезагрузки). Вы также можете очистить конфигурацию до значений по умолчанию с помощью csrutil clear.

Так что вот моя рекомендация: обновите, а затем хирургически отключите только те части SIP, которые мешают вашим инструментам.

Кстати, эта функция частичного отключения не очень хорошо документирована, но я нашел ее обсуждения.на apple.SE, а такжездесь,здесь, издесь.

Что безопаснее: оставаться на Yosemite или использовать Sierra с отключенным SIP?

решение1

Связанный контент