如何禁用系統完整性保護（以及為什麼不禁用）

開啟macOS的系統完整性保護比關閉它有更多的理由，但是關閉它很容易。...

蘋果桌面操作系統的每一個新版本似乎都比上一個版本對用戶施加了更多的限制。系統集成保護（簡稱SIP）可能是迄今為止最大的變化。

SIP是隨著osx10.11elcapitan引入的，它限制了用戶修改某些文件夾的能力。雖然一些人譴責蘋果最新的安全技術是一種從用戶手中奪走控制權的手段，但它的存在是有充分理由的。

完全沒有理由禁用它（但是如果您真的想禁用，我們將向您展示如何禁用）。

什麼是系統完整性保護(system integrity protection)？

SIP是一種安全功能，旨在保護操作系統中最易受攻擊的部分。簡而言之，它甚至可以阻止具有root訪問權限的用戶（通過

sudo

命令）修改主分區上的某些位置。它的目的是保持Mac用戶的安全，就像之前的軟件限制一樣，網關管理員引入。

這很可能是對越來越多的Mac惡意軟件威脅的迴應，這些威脅使你的Mac面臨風險。與蘋果依賴“我是Mac，我是PC”廣告線的日子不同，Mac和現在是惡意軟件的更大目標。不難發現針對蘋果平臺的勒索軟件、間諜軟件、鍵盤記錄軟件或普通的舊廣告軟件。

SIP保護安裝操作系統的驅動器的幾個核心區域，包括

/System

/bin

/**in

/usr

（但不是

/usr/local

). 一些符號鏈接來自

/etc

/tmp

，和

/var

也受保護，儘管目標目錄本身不受保護。安全措施防止沒有足夠權限的進程（包括具有root訪問權限的管理員用戶）寫入這些文件夾和其中存儲的文件。

該技術還可以防止其他“風險”操作，如代碼注入。蘋果擔心對你係統的這些部分所做的改動會使你的Mac面臨風險，並對操作系統造成損害。鎖定根管理員訪問保護您的Mac對遠程和本地執行的sudo級命令。

為什麼要禁用它？

當這個功能首次引入時，一些依賴於修改某些受保護系統文件夾或文件的應用程序不再工作。通常，這些都是相當“侵入”的修改，改變了許多核心操作系統元素和第一方應用程序的功能。某些備份和恢復工具以及專門處理其他設備行為的應用程序也受到影響。

如果您想使用依賴於這種修改的軟件來工作，您必須首先禁用SIP。如果某個應用程序缺少所需的權限，就無法對其進行例外處理。這使得人們猜測，這一變化將影響到規模較小的開發人員，他們缺乏與蘋果合作的手段，以確保他們的軟件繼續運行。

雖然這可能是真的，但許多最初在El Capitan下不起作用的應用程序現在已經被重寫了。Bartender就是這樣一個應用程序，它提供了一種整理Mac菜單欄圖標的方法。最初的調酒師只適用於OSX10.10及以下版本，而調酒師2適用於El Capitan及以上版本。默認文件夾X是另一個調整，旨在增強打開和保存對話框，必須完全重寫埃爾卡皮坦和更高版本。它現在工作得完美無瑕。

並不是所有的應用程序都經歷了完全的重寫，有些應用程序仍然需要禁用SIP才能正常工作。幸運的是，這通常是一種臨時安排，比如Winclone。這個訓練營克隆和備份解決方案需要用戶禁用SIP才能寫入驅動器的受保護區域。之後可以再次啟用該功能。

SwitchResX是另一個需要禁用SIP的應用程序。它增強了對外部顯示的控制，這依賴於在受保護文件中指定的特定分辨率。一旦配置了顯示器，用戶就可以恢復SIP，直到需要進行另一次更改為止。其他應用程序如XtraFinder（以及更多改變Finder外觀和功能的應用程序）需要通過代碼注入解決方案（使用命令）啟用該功能

csrutil enable --without debug

由於這一變化，一些應用程序已經完全停止開發。其他人則建議用戶暫時禁用SIP，然後重新啟用。這裡的關鍵是，在你購買之前，要厭倦那些會修改你係統外觀或行為的應用程序，一個內置的應用程序或功能（比如Finder、Spotlight或dock）。很多時候，一個快速的谷歌搜索或者一眼常見問題就足夠了。