Hvad Mac-brugere har brug for at vide om El Capitan Security

Reklame

Mac-brugere: OS X 10.11 El Capitan er her, og det er temmelig godt OS X El Capitan er her! Opgrader til en mere jævn Mac-oplevelseMac OS X El Capitan er en subtil udgivelse: dens største ændringer er ikke synlige - men du vil sandsynligvis bemærke dem alligevel. Læs mere . De fleste brugere vil få et mærkbart ydeevne, og der er nogle (relativt mindre) nye funktioner.

Men hvad er den største ændring, Apple har foretaget denne gang? Sikkerhed. OS X er nu så låst, selv root-brugere kan ikke ændre operativsystemet - lad os gå over hvad det betyder, skal vi?

Systemintegritetsbeskyttelse: rod har ingen magt her

Kan du huske denne gamle tegneserie?

Kan du ikke forstå det? Nå, i mange UNIX-lignende systemer - inklusive OS X - kommandoen sudo står for superbruger. Hvis du sætter "sudo" foran en kommando, hvis du antager, at din brugerkonto er en administrator, kan du gøre ting, du ikke kan ellers.

Grundlæggende, hvis du er en superbruger, kan du gøre hvad som helst - medmindre du selvfølgelig kører El Capitan. I denne version af OS X kan du overhovedet ikke redigere kernesystemfiler, uanset om du har rod.

Dette er på grund af Systemintegritetsbeskyttelse (SIP) - undertiden kaldet rodløs - en ny funktion, der betyder, at brugere og tredjepartssoftware, inklusive malware, ikke kan ændre kernesystemfiler.

For at opsummere betyder SIP, at:

• Kernesystemfiler kan ikke skrives på ny, heller ikke af rodbrugere.
• Injektion af kode i beskyttede processer er ikke længere tilladt af systemet.
• Kun underskrevne kerneudvidelser kan køre - ingen undtagelser.

Den grundlæggende idé her er, at hvis du ikke kan ændre disse kernefiler, hverken malware eller hackere. Men der er nogle potentielle ulemper, især hvis du er den slags bruger, der kan lide at hacke eller tilpasse ting.

Systemkataloger kan ikke redigeres

I El Capitan kan indholdet i bestemte mapper ikke ændres af brugeren eller noget program, som brugeren måske vælger at køre. Hvilke mapper?

• /System
• /bin
• / usr (undtagen “/ usr / local”)
• /sbin

Test af dette er simpelt: gå til Terminal og prøv at oprette et nyt bibliotek i /System. Det fungerer ikke:

Dette betyder, at du og alle programmer, du muligvis vælger at køre, ikke kan foretage ændringer til OS X - selvom du ikke er en rodbruger, og selvom du skriver din adgangskode. Dette betyder også, at malware og hackere ikke kan ændre noget i disse mapper.

Ethvert program, der delvist arbejdede ved at foretage ændringer i disse mapper, fungerer ikke i El Capitan, fuld stop, uden en slags opdatering.

Og denne ændring er tilbagevirkende, hvilket betyder, at hvis du har gjort noget for at redigere OS X tidligere, er disse ændringer i gang at vende tilbage, når du opgraderer til El Capitan - men du kan gendanne alle filer og ændringer, hvis du vil, er de i /Library/SystemMigration.

Hellig helvede. Når du installerer Mac OS X 10.11 "El Jefe", flytter rodløs en * flok * ting til / Bibliotek / SystemMigration / Jeg har ting fra 2006!

- Rosyna Keller (@rosyna) 21. september 2015

Ikke mere at indsprøjte ting i hukommelsen

Har du nogensinde brugt EasySIMBL, som giver dig mulighed for at tilpasse næsten alt på din Mac Tilpas næsten alt på din Mac med EasySIMBLFra at skjule menulinjen, når visse applikationer er åbne for at integrere Instagram-billeder i den officielle Twitter-app, kan du gøre ting med EasySIMBL, som du sandsynligvis ikke vidste, var mulig. Læs mere ? Dette program kan tilføje funktionalitet til programmer og OS X selv, og opnår dette ved at injicere kode i et aktuelt kørende program. For eksempel: et plugin til EasySIMBL lavede Twitter's officielle Mac-klientstøtte indlejrede billeder fra Instagram, en funktion, som den ellers ikke har.

Dette kan være rigtig cool, men det bruger også den nøjagtige metode, som en masse almindelig malware bruger til at gøre alle slags grimme ting. Det er ikke længere muligt i El Capitan.

@ jolan78@comex easysimbl er brudt den 10.10.3+. fremtiden er alligevel dyster takket være rodløs alligevel (med vilje ikke let at deaktivere)

—?????? 3G? ??x??? (@Hbkirb) 22. august 2015

Dette bryder ting som EasySIMBL og det populære Flashlight-pluginsystem til Spotlight Føj supermagter til spotlight med dette uofficielle plugin-systemBringe Google, Wolfram Alpha, vejret og næsten alt andet til Spotlight. Læs mere , på El Capitan - men forhindrer også alle slags teoretisk mulige malware.

Ikke flere ikke-underskrevne kerneudvidelser

Kerneudvidelser er stykker software, der interagerer direkte med systemets kerne. De fleste Mac-brugere vil sandsynligvis aldrig installere en kerneudvidelse, medmindre de har brug for drivere til en slags tredjepartshardware.

. @ZetesIndustries venligst få dine drivere til 'den bedst sælgende eid-læser' underskrevet til Mac OS. Sikkerhed er vigtig. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25. januar 2015

Og fra nu af skal alle kerneudvidelser - inklusive drivere - underskrives for at køre. Dette betyder, at hvis du stoler på et stykke hardware, der er afhængig af en usigneret driver, indlæses denne driver ikke i El Capitan - din enhedsproducent skal frigive en underskrevet driver, eller du kan ikke bruge din hardware.

Sluk for SIP / rodløs i El Capitan

Disse ændringer vil uden tvivl forbedre sikkerheden - men nogle mennesker føler, at det ikke er værd at miste friheden.

Mac Os X El Capitan er et mareridt for udviklere med *** rodløs implementering

- Necromant2005 (@ necromant2005) 5. oktober 2015

Uanset om du er enig i disse klager, eller blot stole på apps eller hardware, der ikke fungerer med SIP aktiveret, er det muligt at slå denne sikkerhedsfunktion fra.

Systemintegritetsbeskyttelse kan ikke deaktiveres fra selve operativsystemet: du skal starte op i OS X gendannelse. Luk din Mac, og hold derefter nede CMD + R mens det starter.

Når systemet har indlæst OS X-gendannelse, skal du indlæse Terminal fra menulinjen, og skriv derefter csrutil deaktivere og ramte Gå ind. Hvis du senere vil slå SIP / rootless til igen, skal du gentage denne proces, men skriv csrutil aktivere i terminalen.

Alternativt kan du simpelthen ikke installere El Capitan på et stykke tid - du kan få de fantastiske funktioner uden at opgradere Vent ikke, få OS X 11.10 El Capitan-funktioner lige nu i YosemiteMens der er et par gode nye funktioner og forbedringer, der kommer til OS X 11.10, kan du få de fleste af de kommende funktioner ved at installere tredjepartssoftware i dag. Læs mere alligevel.

Andre forskellige sikkerhedsrettelser

SIP er ikke den eneste nye sikkerhedsfunktion i El Capitan - bare den mest bemærkelsesværdige. Du kan læse Apples lange liste over OS X-sikkerhedsopdateringer, hvis du vil, men her er et par højdepunkter:

• Mange ændringer til apps for at beskytte adgangen til nøgleringe.
• Forbedrede krypteringsalgoritmer.
• Ændringer i EFI for at forhindre, at hele systemet er manipuleret.
• En forbedret form for tofaktorautentisering Hvad er tofaktorautentisering, og hvorfor du skal bruge denTo-faktor-godkendelse (2FA) er en sikkerhedsmetode, der kræver to forskellige måder at bevise din identitet på. Det bruges ofte i hverdagen. For eksempel kræver betaling med et kreditkort ikke kun kortet, ... Læs mere til iCloud-brugere.

Sikkerhed eller frihed?

ugh, at skulle slukke for rodløs tilstand i el capitan, så jeg kan erstatte min macs ikoner føles underlig

- Zach Smith (@Zacitus) 24. juli 2015

Jeg har talt om, hvordan El Capitans nye sikkerhedsfunktioner er slutningen af ​​Mac-tilpasning El Capitan betyder slutningen på Mac-temaer og Deep System TweaksHvis du kan lide at tilpasse din Mac, er Yosemite muligvis den sidste version af OS X, der fungerer for dig. Og det er for dårligt. Læs mere , og de kommentarer, jeg overrasket mig - folk sagde dybest set ”Så hvad?”.

Måske er flere Mac-brugere enige i dette: at de hellere vil have sikkerhedsfunktioner som SIP end evnen til at finpusse ting. Jeg vil gerne vide, hvad du synes: er der en afvejning her, og er det værd? Lad os tale om dette i kommentarerne.

Billedkreditter: “Sandwich”Med tilladelse fra XKCD