眾所周知,El Capitan 引入了 SIP。雖然這是一項出色的安全措施,但它也禁用了我所依賴的許多方便的工具和實用程式 - 例如,無菌以及 Wine 上的一些實用程式。
到目前為止,我一直留在 Yosemite 上,因為仍然能夠在本機支援下使用這些工具。然而,現在 Sierra 已經推出,而我落後了兩個主要作業系統版本,我想權衡升級的利弊。也就是說,在 Sierra 上停用 SIP 是否會讓我處於比留在 Yosemite 上更不安全的境地,還是我會承擔同樣的安全風險?
這論點反對禁用 SIP是有據可查,所以我想避免諸如“SIP 比擁有工具更重要”之類的答案。假設我的工具是最重要的,那麼我使用它們的最安全的環境是什麼?
答案1
堅持使用舊版的作業系統顯然意味著您無法獲得各種功能其他最新版本的安全性改進(更好的 SSL/TLS 加密、Sierra 對 Gatekeeper 處理磁碟映像方式的改進等)。
蘋果通常似乎只為最新的 2 或 3 個版本的作業系統發布安全性修補程式。自 Sierra 發布以來,Yosemite可能繼續接收補丁。一陣子。或許。
另一方面,升級和關閉 SIP 意味著您失去 Yosemite 的 kext 簽名要求。這些都被納入 El Capitan 的 SIP 中,因此當您關閉 SIP 時,這些也會消失。
在緊握的手上,可以部分地停用 SIP,僅關閉幹擾您的工具的部分,同時啟用其他部分(例如 kext 簽名)。例如,如果您需要 DTrace 才能運作,但其他 SIP 限制都可以,您可以在復原模式下啟動並執行命令
csrutil enable --without dtrace。您可能需要進行試驗,看看需要關閉 SIP 的哪些部分才能使您的工具正常運作。選項有
--without kext、--without fs、--without debug、--without dtrace、--without nvram和--no-internal。您可以檢查當前狀態csrutil status(儘管這似乎顯示運行狀態,而不是配置的設置,這意味著它在您重新啟動之前不會更新)。您也可以使用 將配置清除回預設值csrutil clear。因此,我的建議是:更新,然後對 SIP 中乾擾您工具的部分進行手術停用。