Advertentie

Mac-gebruikers: OS X 10.11 El Capitan is hier en het is best goed OS X El Capitan is er! Upgrade voor een soepelere Mac-ervaringMac OS X El Capitan is een subtiele release: de grootste veranderingen zijn niet zichtbaar - maar je zult ze waarschijnlijk toch opmerken. Lees verder . De meeste gebruikers krijgen een merkbare prestatieverbetering en er zijn enkele (relatief kleine) nieuwe functies.

Maar wat is de grootste verandering die Apple deze keer heeft aangebracht? Veiligheid. OS X is nu zo vergrendeld dat zelfs root-gebruikers het besturingssysteem niet kunnen wijzigen - laten we eens kijken wat dat betekent, zullen we?

Bescherming van systeemintegriteit: root heeft hier geen kracht

Herinner je je deze oude cartoon nog?

Sandwich

Snap je het niet? Welnu, in veel UNIX-achtige systemen - inclusief OS X - de opdracht sudo staat voor superuser. Door 'sudo' voor een commando te plaatsen, ervan uitgaande dat uw gebruikersaccount een beheerder is, kunt u dingen doen die u anders niet kunt.

Kortom, als u een supergebruiker bent, kunt u alles doen, tenzij u natuurlijk El Capitan beheert. In deze versie van OS X kun je helemaal geen systeembestanden bewerken, ongeacht of je root bent.

instagram viewer

Dit komt door Bescherming van systeemintegriteit (SIP) - soms genoemd wortelloos - een nieuwe functie die betekent dat gebruikers en software van derden, inclusief malware, kernsysteembestanden niet kunnen wijzigen.

Samenvattend betekent SIP dat:

  • Kernsysteembestanden kunnen niet opnieuw worden geschreven, zelfs niet door rootgebruikers.
  • Het injecteren van code in beveiligde processen is niet langer toegestaan ​​door het systeem.
  • Alleen ondertekende kernelextensies kunnen worden uitgevoerd - geen uitzonderingen.

Het basisidee hier is dat als je deze kernbestanden niet kunt wijzigen, evenmin kunnen malware of hackers. Maar er zijn een aantal mogelijke nadelen, vooral als je het soort gebruiker bent dat graag dingen hackt of aanpast.

Systeemmappen kunnen niet worden bewerkt

In El Capitan kan de inhoud van bepaalde mappen niet worden gewijzigd door de gebruiker of door een programma dat de gebruiker zou willen gebruiken. Welke mappen?

  • /System
  • /bin
  • / usr (behalve "/ usr / local")
  • /sbin

Dit testen is eenvoudig: ga naar de Terminal en probeer een nieuwe map te maken in /System. Het werkt niet:

systeem-integriteit-bescherming-mac

Dit betekent dat u en alle programma's die u zou kunnen gebruiken, geen wijzigingen in OS X kunnen aanbrengen, zelfs niet als u een rootgebruiker bent en zelfs als u uw wachtwoord typt. Dit betekent ook dat malware en hackers niets in die mappen kunnen wijzigen.

Elke applicatie die gedeeltelijk werkte door wijzigingen in deze mappen aan te brengen, werkt niet volledig in El Capitan, zonder enige vorm van update.

En deze wijziging is met terugwerkende kracht, wat betekent dat als je in het verleden iets hebt gedaan om OS X te bewerken, die veranderingen gaan om terug te zetten wanneer je een upgrade naar El Capitan uitvoert, maar je kunt alle bestanden en wijzigingen herstellen, als je wilt, ze zijn in /Library/SystemMigration.

Heilige hel. Wanneer je Mac OS X 10.11 "El Jefe" installeert, verplaatst rootless een * heleboel dingen naar / Bibliotheek / SystemMigration / Ik heb dingen uit 2006!

- Rosyna Keller (@rosyna) 21 september 2015

Nooit meer dingen in het geheugen injecteren

Heb je ooit gebruikt EasySIMBL, waarmee je bijna alles op je Mac kunt aanpassen Pas bijna alles op uw Mac aan met EasySIMBLVan het verbergen van de menubalk wanneer bepaalde applicaties openstaan ​​tot het insluiten van Instagram-afbeeldingen in de officiële Twitter-app, je kunt dingen doen met EasySIMBL waarvan je waarschijnlijk niet wist dat het mogelijk was. Lees verder ? Dit programma kan functionaliteit toevoegen aan programma's en OS X zelf en bereikt dit door code in een momenteel actief programma te injecteren. Bijvoorbeeld: één plug-in voor EasySIMBL zorgde ervoor dat Twitter's officiële Mac-client ingesloten afbeeldingen van Instagram ondersteunt, een functie die het anders niet zou hebben.

Dit kan heel cool zijn, maar het gebruikt ook de exacte methodologie die veel gangbare malware gebruikt om allerlei vervelende dingen te doen. In El Capitan is het niet meer mogelijk.

@ jolan78@comex easysimbl is verbroken op 10.10.3+. de toekomst is toch behoorlijk somber dankzij rootless (opzettelijk niet gemakkelijk uit te schakelen)

—?????? 3G? ??X??? (@hbkirb) 22 augustus 2015

Dit breekt zaken als EasySIMBL en het populaire Flashlight-plug-insysteem voor Spotlight Voeg superkrachten toe aan de schijnwerpers met dit onofficiële plug-insysteemBreng Google, Wolfram Alpha, het weer en zo ongeveer alles naar Spotlight. Lees verder , op El Capitan - maar voorkomt ook allerlei theoretisch mogelijke malware.

Geen ongetekende kernelextensies meer

Kernel-extensies zijn stukjes software die rechtstreeks interageren met de systeemkern. De meeste Mac-gebruikers zullen waarschijnlijk nooit een kernelextensie installeren, tenzij ze stuurprogramma's nodig hebben voor een soort hardware van derden.

. @ZetesIndustries laat uw stuurprogramma's voor 'de best verkopende eid-lezer' ondertekenen voor Mac OS. Beveiliging is belangrijk. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25 januari 2015

En vanaf nu moeten alle kernelextensies - inclusief stuurprogramma's - worden ondertekend om te kunnen werken. Dit betekent dat als u vertrouwt op een stuk hardware dat vertrouwt op een niet-ondertekend stuurprogramma, dat stuurprogramma niet wordt geladen in El Capitan - uw apparaatfabrikant moet een ondertekend stuurprogramma vrijgeven, anders kunt u uw stuurprogramma niet gebruiken hardware.

SIP / Rootless uitschakelen in El Capitan

Deze veranderingen zullen zonder twijfel de beveiliging verbeteren, maar sommige mensen vinden dat het het verlies van vrijheid niet waard is.

Mac Os X El Capitan is een nachtmerrie voor ontwikkelaars met *** rootless implementatie

- Necromant2005 (@ necromant2005) 5 oktober 2015

Of u nu akkoord gaat met deze klachten of gewoon vertrouwt op apps of hardware die niet werken met SIP ingeschakeld, het is mogelijk om deze beveiligingsfunctie uit te schakelen.

System Integrity Protection kan niet worden uitgeschakeld vanuit het besturingssysteem zelf: u moet opstarten OS X herstel. Sluit je Mac af en houd hem vast CMD + R terwijl het begint.

Wat Mac-gebruikers moeten weten over El Capitan Security OS x Recovery

Zodra het systeem OS X Recovery heeft geladen, laadt u het Terminal op de menubalk en typ vervolgens csrutil uitschakelen en raak Enter. Als u later SIP / rootless weer wilt inschakelen, herhaalt u dit proces, maar typt u csrutil inschakelen in de Terminal.

Als alternatief kunt u El Capitan gewoon een tijdje niet installeren - dat kan krijg de geweldige functies zonder te upgraden Wacht niet, download nu OS X 11.10 El Capitan-functies in YosemiteHoewel er een paar leuke nieuwe functies en verfijningen komen voor OS X 11.10, kun je de meeste van de komende functies krijgen door vandaag software van derden te installeren. Lees verder in ieder geval.

Andere verschillende beveiligingspatches

SIP is niet de enige nieuwe beveiligingsfunctie in El Capitan - alleen de meest opmerkelijke. Jij kunt lezen Apple's lange lijst met OS X-beveiligingsupdates, als je wilt, maar hier zijn een paar hoogtepunten:

  • Veel wijzigingen in apps om de toegang tot de sleutelhanger te beschermen.
  • Verbeterde versleutelingsalgoritmen.
  • Wijzigingen in de EFI om systeembrede manipulatie te voorkomen.
  • Een verbeterde vorm van tweefactorauthenticatie Wat is tweefactorauthenticatie en waarom u deze moet gebruikenTwee-factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren vereist om uw identiteit te bewijzen. Het wordt veel gebruikt in het dagelijks leven. Betalen met een creditcard vereist bijvoorbeeld niet alleen de kaart, ... Lees verder voor iCloud-gebruikers.

Veiligheid of vrijheid?

eh, het moet raar zijn om de rootloze modus in el capitan uit te schakelen, zodat ik de pictogrammen van mijn mac kan vervangen

- Zach Smith (@Zacitus) 24 juli 2015

Ik heb het gehad over hoe de nieuwe beveiligingsfuncties van El Capitan zijn het einde van Mac-aanpassing El Capitan betekent het einde van Mac-thema's en diepe systeemaanpassingenAls je het leuk vindt om je Mac aan te passen, is Yosemite misschien de laatste versie van OS X die voor jou werkt. En dat is jammer. Lees verder , en de opmerkingen die ik kreeg, verrasten me - mensen zeiden in feite: "Wat dan?".

rootless-comments-custom-mac

Misschien zijn meer Mac-gebruikers het hiermee eens: dat ze liever beveiligingsfuncties zoals SIP hebben dan de mogelijkheid om dingen aan te passen. Ik wil weten wat je denkt: is hier een afweging en is het het waard? Laten we dit bespreken in de reacties.

Afbeeldingscredits: "Sandwich”Met dank aan XKCD

Justin Pot is een technologiejournalist uit Portland, Oregon. Hij houdt van technologie, mensen en natuur - en probeert waar mogelijk te genieten van alle drie. Je kunt nu met Justin chatten op Twitter.