随着10.11elcapitan的发布和系统完整性保护(简称SIP)的引入,macOS发生了重大变化。这是一项安全措施,早在2015年就对操作系统产生了相当大的影响。
如今,我们大多数人都已经适应了后SIP macOS。但你可能仍然想知道它是什么,它到底是做什么的,为什么你最好不要管它。
让我们来看看SIP,它的用途,以及它最初为什么会发生。
简单地说,系统完整性保护是苹果推出的一种安全措施,用于保护macOS安装和核心进程的某些部分,并审查第三方内核扩展。它积极地保护系统的某些部分不受修改,并阻止安装不安全的扩展。
虽然您启用了SIP,但以保护系统完整性的名义(毫不奇怪),某些区域是完全禁止的。你可以通过苹果的开发者程序获得某些特权,允许签名软件执行安装驱动程序等操作。
SIP是不可见的,完全在后台工作。它与Gatekeeper不同,Gatekeeper是苹果的另一个安全功能,它阻止安装未签名的第三方软件。但这无疑是苹果引入这项技术的安全意识趋势的一部分,这项技术以前被称为文件隔离。
SIP保护您的Mac免受不必要的干预。这是一个安全功能,出现在面对日益增长的macOS恶意软件威胁。苹果公司“我是个人电脑”的营销口号宣称该系统几乎是防弹的时代已经一去不复返了。
Mac恶意软件存在;有许多记录在案的案例,从简单的JavaScript“勒索软件”到试图窃取你的管理员密码的无处不在的恶意软件。SIP和Gatekeeper在防范这些威胁方面只做了这么多。Mac的危险是一个真正的问题,尤其是在Java插件和Adobe Flash等浏览器技术方面。
苹果指出,对macOS(当时是osx)的威胁很大程度上来自于这样一个事实:大多数苹果电脑使用的是具有管理员权限的单一用户帐户。让管理员(root)访问您的计算机可以提供自主权,但在SIP之前,这会导致一些用户无意中批准安装恶意软件。
简而言之:你的Mac电脑是不安全的,即使是你自己。通过限制root访问所能做的,苹果有效地在你和你系统中最敏感的部分之间建立了一道屏障。这种方法的副作用是您不再拥有完全的控制权,特别是在调整外观和应用程序行为时。
苹果对macOS的控制越来越严,这让一些用户抱怨,该平台过于紧跟苹果移动平台iOS的脚步。有利的一面是,iOS是市场上最安全的移动平台,因此这种方法有一些优点。
SIP影响目录、进程和内核扩展。这意味着您不能更改以下目录:
这些目录中的大多数甚至都不可见,因此保护的主要目的是防止第三方程序写入这些区域。这还包括对核心系统文件进行更改的能力,这意味着与SIP之前的macOS相比,定制更少。
用户和第三方应用程序仍然可以更改以下目录:
SIP还保护大多数安装在macOS上的应用程序免受干扰。
最后,第三方内核扩展(包括驱动程序)现在必须用Apple开发者ID签名。如果存在未签名的内核扩展,您的Mac将无法启动。
自从SIP被引入后的几年里,开发人员和用户都已经适应了某些系统组件的锁定。许多开发人员从头开始重写应用程序,以便与SIP一起工作。此后,苹果推出了更多已经适应苹果限制的产品。
Mac应用商店中的所有应用程序都必须与SIP合作,才能获得苹果的批准。绝大多数第三方应用程序也可以正常工作。也有一些例外,比如Winclone,它仍然需要禁用(然后重新启用)SIP,以执行其作为训练营克隆工具的功能。
虽然有很多小型的方便的Mac调整来修复所有可用的东西,但深度系统的调整基本上已经不可行了。例如,设计用于改变查找器颜色、外观和感觉的应用程序的主题化依赖于代码注入,而这是您无法再做的。如果不从头开始构建新的东西,这些应用程序就不再可行。
不过,软件最终不会受到影响,除非开发人员明确指出。如果是这样的话,也许值得寻找一个不同的应用程序来执行相同的任务。SIP的存在是为了保护你。对于绝大多数将macOS视为完成工作的功能基础的用户来说,在这些限制条件下生活是值得的。
如果您真的想禁用SIP,可以通过重新启动到Mac的恢复分区(启动时按住Cmd+R),然后使用csrutil命令行实用程序来实现。查看我们关于禁用SIP的完整指南,但我们建议您在完成修补后重新启用它。
值得指出的是,每次更新操作系统或升级到新版本的macOS时,您的计算机都将重新启用SIP。你最好把它放在上面,好好地处理,因为它是来这里留下的。
苹果为确保macOS的安全所做的努力使其拥有了极好的安全记录。基于Unix平台,macOS提供了苹果特有的用户友**和用户隐私保护方法。它是以坚实的基础和安全性为基础完成的。
由于新软件是以SIP为核心构建的,所以只有旧软件、深层次的系统级调整以及古怪的利基第三方应用程序才会要求您禁用它。
最后,这是一个安全特性,也是一个遵循苹果对macOS平台设计敏感性的特性。既然苹果操作系统的使用是购买Mac电脑的主要动力之一,那么禁用这样的功能就没有多大意义了。
...与许多其他定制应用程序不同,这一个应用程序支持系统完整性保护(SIP),这是它应该做到的。 ...
...后的手段。在这种情况下,去做吧。只需知道,禁用系统完整性保护(SIP)可以让您在macOS中真正搞砸事情。这是有原因的。小心,确保你有备份,等等。完成后,一定要把它打开。 ...
... 什么是系统完整性保护(system integrity protection)? ...
... 从2015年的OS X El Capitan开始,苹果推出了系统完整性保护(SIP)。这通过限制对设备上敏感文件夹的访问来提高Mac的安全性。很遗憾,您需要访问protected/System文件夹才能执行此PDF调整。 ...
... 但是,您应该注意,除非禁用系统完整性保护,否则无法更改Mac的充电音效。因为连接充电器时播放的声音文件位于/System文件夹中(macOS会锁定该文件夹以保护您的计算机),因此默认情况下无法重命名它...
...我们推荐的引导管理器。要安装rEFInd,需要暂时禁用系统完整性保护。这是macOS的一个重要安全特性,因此请确保在以后再次启用它。 ...
...前面提到的,macOS有几个内置的保护层。其中之一,系统完整性保护(SIP),是在OSX El Capitan中引入的。本质上,SIP防止用户和程序对操作系统的核心部分进行更改。 ...
...就不会意外地损坏或移动它们。但它也在一种被称为系统完整性保护(SIP)的隐藏防御背后保护重要文件。 ...
... 大多数情况下,由于macOS的系统完整性保护(SIP),您无法从垃圾箱中删除time Machine备份。这是macOS中的一个安全特性,它可以阻止您或其他任何人破坏操作系统的重要部分。苹果在OSX El Capitan中推出了...