Как мы все, наверное, знаем, El Capitan представил SIP. Несмотря на то, что это отличная мера безопасности, он также отключил многие удобные инструменты и утилиты, на которые я полагаюсь - например, Asepsis и несколько утилит для Wine.

До сих пор я оставался на Yosemite ради возможности использовать эти инструменты при собственной поддержке. Однако теперь, когда Sierra вышла, а у меня две основные версии ОС, я бы хотел взвесить все за и против обновления. А именно, будет ли отключение SIP в Sierra ставить меня в менее безопасное положение, чем пребывание в Yosemite, или я в любом случае буду рисковать такими же угрозами безопасности?

Аргументы против отключения SIP хорошо документированы, поэтому я бы хотел избежать ответов типа «SIP важнее, чем наличие ваших инструментов». Предполагая, что мои инструменты являются приоритетными, в какой среде я могу использовать их наиболее безопасно?

1 ответ1

1
  • Использование более старой версии ОС, очевидно, означает, что вы не получите других улучшений безопасности в последних версиях (улучшенное шифрование SSL/TLS, усовершенствования Sierra в том, как Gatekeeper обрабатывает образы дисков и т.д.).

  • Apple обычно выпускает исправления для системы безопасности только для последних 2 или 3 версий ОС. После освобождения Сьерры Йосемити может продолжать получать патчи. Какое-то время. Может быть.

  • С другой стороны, обновление и отключение SIP означает, что вы потеряете требования подписывания kext, которые были у Yosemite. Они были добавлены в SIP в El Capitan, и поэтому, когда вы выключаете SIP, они также исчезают.

  • С другой стороны, можно частично отключить SIP, отключив только те части, которые мешают работе ваших инструментов, оставив другие части (например, подпись в формате kext) включенными. Например, если вам нужен DTrace для работы, но другие ограничения SIP в порядке, вы можете запустить в режиме восстановления и выполнить команду csrutil enable --without dtrace .

    Возможно, вам придется поэкспериментировать, чтобы увидеть, какие части SIP необходимо отключить для работы ваших инструментов. Возможные варианты: - без --without kext , - --without fs , - --without debug , - --without dtrace , - --without nvram и --no-internal . Вы можете проверить текущий статус с csrutil status (хотя, похоже, он отображает текущий статус, а не настроенные параметры, то есть он не обновляется до перезагрузки). Вы также можете очистить конфигурацию обратно по умолчанию с помощью csrutil clear .

    Так что это будет моя рекомендация: обновите, а затем сделайте хирургическое отключение только тех частей SIP, которые мешают вашим инструментам.

    Кстати, эта функция частичного отключения не очень хорошо документирована, но я нашел ее обсуждение на Apple.ЮВ , как и здесь , здесь и здесь .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .