Mac OS X 10.11 El Capitan使用名为“系统完整性保护”的新功能保护系统文件和进程。SIP是一个内核级的特性，它限制了“root”帐户的功能。

这是一个很好的安全特性，几乎所有人——甚至是“超级用户”和开发人员——都应该启用它。但是，如果您真的需要修改系统文件，您可以绕过它。

什么是系统完整性保护(system integrity protection)？

相关：什么是Unix，为什么它很重要？

在macosx和其他类似UNIX的操作系统（包括Linux）上，有一个“root”帐户，传统上可以完全访问整个操作系统。成为root用户-或获得root权限-使您能够访问整个操作系统，并能够修改和删除任何文件。获得根权限的恶意软件可以使用这些权限来破坏和感染低级操作系统文件。

在一个安全对话框中键入密码，您已经授予应用程序根权限。这传统上允许它对您的操作系统做任何事情，尽管许多Mac用户可能还没有意识到这一点。

系统完整性保护-也称为“无根”-通过限制根帐户发挥作用。操作系统内核本身检查根用户的访问权限，不允许它执行某些操作，例如修改受保护的位置或将代码注入受保护的系统进程。所有内核扩展都必须签名，并且不能从macosx本身禁用系统完整性保护。具有提升的根权限的应用程序不能再篡改系统文件。

如果尝试写入以下目录之一，则很可能会注意到这一点：

• /系统
• /垃圾箱
• /usr公司
• /斯宾

OSX只是不允许，您将看到一条“操作不允许”的消息。OSX也不允许您在其中一个受保护的目录上挂载另一个位置，因此无法解决此问题。

受保护位置的完整列表位于/System/Library/Sandbox/无根.conf在你的Mac上。它包括像邮件.app以及国际象棋.appMac OS X附带的应用程序，因此您无法删除这些应用程序-即使作为根用户也无法从命令行中删除这些应用程序。然而，这也意味着恶意软件不能修改和感染这些应用程序。

不巧的是，disk Utility中的“修复磁盘权限”选项（长期用于解决各种Mac问题）现在已被删除。无论如何，系统完整性保护应该防止关键文件权限被篡改。磁盘实用程序已经过重新设计，仍然有修复错误的“急救”选项，但没有修复权限的方法。

如何禁用系统完整性保护

警告：除非你有很好的理由这样做，并且你知道你在做什么，否则不要这样做！大多数用户不需要禁用此安全设置。这并不是为了防止你弄乱系统，而是为了防止恶意软件和其他行为不好的程序弄乱系统。但是一些低级别的实用程序只有在无限制访问的情况下才能运行。

相关：恢复模式下可访问的8个Mac系统功能

系统完整性保护设置不存储在Mac OS X本身中。相反，它存储在每个单独的Mac上的NVRAM中。它只能从恢复环境中修改。

要引导到恢复模式，请重新启动Mac并在引导时按住Command+R。您将进入恢复环境。单击“实用程序”菜单并选择“终端”以打开终端窗口。

在终端中键入以下命令，然后按Enter键检查状态：

csrutil status

您将看到是否启用了系统完整性保护。

要禁用系统完整性保护，请运行以下命令：

csrutil disable

如果您决定以后启用SIP，请返回恢复环境并运行以下命令：

csrutil enable

重新启动Mac，新的系统完整性保护设置将生效。根用户现在可以完全、不受限制地访问整个操作系统和每个文件。

如果在将Mac升级到OS X 10.11 El Capitan之前，您的文件存储在这些受保护的目录中，那么它们尚未被删除。您会发现它们被移动到Mac上的/Library/SystemMigration/History/Migration-（UUID）/QuarantineRoot/目录中。

图片来源：Flickr上的Shinji