Konfiguration des macOS-Systemintegritätsschutzes

Question

Konfiguration des macOS-Systemintegritätsschutzes

Schluck
Wurzel
Mac OS
Sicherheit
Software

Eugen Wolffe

Ich wollte die Konfiguration auf einigen Macs sperren und wollte wissen, ob es eine Möglichkeit gibt, die Dateien und Ordner zu ändern, die SIP schützt. Ich weiß, dass es deaktiviert und seine aktuellen Regeln angezeigt werden können, aber gibt es eine Möglichkeit, Ihre eigenen geschützten Verzeichnisse hinzuzufügen?

Danke

Antworten (2)

Konfiguration des macOS-Systemintegritätsschutzes

klanomath · Answer 1

Es ist möglich, Ihr eigenes geschütztes Verzeichnis zu SIP hinzuzufügen:

Booten Sie in den Wiederherstellungsmodus und deaktivieren Sie SIP
Starten Sie neu und erstellen Sie eine Verzeichnisstruktur.
Markieren Sie den gesamten Ordner oder einzelne Dateien oder Ordner:
```
sudo chflags restricted /example
sudo chflags restricted /example/example.app
sudo chflags restricted /example/subdir/file
```
oder eine Ordnerhierarchie:
```
sudo chflags -R restricted /example
```
Wenn Sie nach Verwendung der Option -R ein Unterverzeichnis ausschließen möchten, müssen Sie dort das eingeschränkte Flag entfernen:
```
sudo chflags norestricted /example/subdir
```
Booten Sie in den Wiederherstellungsmodus und aktivieren Sie SIP

Jetzt sind die Ordner example , example.app und die Datei /example/subdir/file geschützt. Sie können immer noch Dateien zu /example/subdir hinzufügen oder daraus entfernen .

Das Restricted Flag hat keine Auswirkung, wenn SIP deaktiviert ist – es gelten die üblichen POSIX/ACLs-Berechtigungen. Bei aktiviertem SIP sind die Dateien/Ordner geschützt.

Es ist auch möglich, SIP-geschützte Dateien und Verzeichnisse über ein Installationspaket hinzuzufügen, zu entfernen oder zu ändern, das von Apples eigener Zertifizierungsstelle signiert ist. Da ein normaler Benutzer/Kunde in der Regel keinen Zugriff auf diese Zertifizierungsstelle hat, entfällt diese Möglichkeit.

Eine frühere Version dieser Antwort behauptete, dass es erforderlich ist, die Datei /System/Library/Sandbox/rootless.conf zu ändern und etwas hinzuzufügen wie:

                                /example
                                /example/example.app
*                               /example/subdir
                                /example/subdir/file

Das ist falsch! Es reicht aus , eine Datei oder einen Ordner einfach als eingeschränkt zu kennzeichnen , um sie zu schützen.

Bitte klären Sie: Warum ist es "falsch", ist es unnötig, funktioniert nicht, übertrieben, schlechte Praxis ...

JMY1000 · Answer 2

Soweit ich weiß, gibt es keine Möglichkeit zu ändern, welche Verzeichnisse SIP schützt; SIP ist entweder an oder aus . Apple scheint eine solche Fähigkeit auch in seinen Entwicklerdokumenten nicht zu erwähnen.

Ignorieren Sie dies, @kanomath hat eine bessere Antwort. Der letzte Teil meiner Antwort steht immer noch in begrenztem Maße.

Wenn Sie Konfigurationsdateien sperren möchten, ändern Sie die Dateisystemberechtigungen entweder über die Finder-GUI oder das Befehlszeilendienstprogramm chown.

Konfiguration des macOS-Systemintegritätsschutzes

Eugen Wolffe

Antworten (2)

klanomath

LangLаngС

JMY1000

JMY1000

Schützen Sie jedes Benutzerkonto in Lion?

Wie schütze ich mich vor der Root-Schwachstelle in macOS High Sierra?

Was ist eigentlich die „Rootless“-Funktion in El Capitan?

Wie ändern Systemdienste geschützte Verzeichnisse mit Systemintegritätsschutz?

Wie stelle ich sicher, dass der Fehler im macOS-Root-Konto auf meinem Computer vollständig behoben ist?

Abgesehen von Benutzerfehlern, welche Arten von Angriffen würde SIP verhindern?

Wie kann man feststellen, woher ein Passwortdialog kommt?

Gibt es eine Möglichkeit, meine SSD nach x fehlgeschlagenen Anmeldeversuchen automatisch zu formatieren/löschen?

Der Papierkorbordner wird aufgrund der Datei P ͎̮͉͍ͨ̈́̾̈́A ͎̮͉͍ͨ̈́̾̈́I ͎̮͉͍ͨ̈́̾̈́N ͎̮͉͍ͨ̈́̾̈́.jpg-Datei nicht geleert

Deaktivieren Sie ALLE Passwortabfragen im Finder