隨著10.11elcapitan的發佈和系統完整性保護(簡稱SIP)的引入,macOS發生了重大變化。這是一項安全措施,早在2015年就對操作系統產生了相當大的影響。
如今,我們大多數人都已經適應了後SIP macOS。但你可能仍然想知道它是什麼,它到底是做什麼的,為什麼你最好不要管它。
讓我們來看看SIP,它的用途,以及它最初為什麼會發生。
簡單地說,系統完整性保護是蘋果推出的一種安全措施,用於保護macOS安裝和核心進程的某些部分,並審查第三方內核擴展。它積極地保護系統的某些部分不受修改,並阻止安裝不安全的擴展。
雖然您啟用了SIP,但以保護系統完整性的名義(毫不奇怪),某些區域是完全禁止的。你可以通過蘋果的開發者程序獲得某些特權,允許簽名軟件執行安裝驅動程序等操作。
SIP是不可見的,完全在後臺工作。它與Gatekeeper不同,Gatekeeper是蘋果的另一個安全功能,它阻止安裝未簽名的第三方軟件。但這無疑是蘋果引入這項技術的安全意識趨勢的一部分,這項技術以前被稱為文件隔離。
SIP保護您的Mac免受不必要的干預。這是一個安全功能,出現在面對日益增長的macOS惡意軟件威脅。蘋果公司“我是個人電腦”的營銷口號宣稱該系統幾乎是防彈的時代已經一去不復返了。
Mac惡意軟件存在;有許多記錄在案的案例,從簡單的JavaScript“勒索軟件”到試圖竊取你的管理員密碼的無處不在的惡意軟件。SIP和Gatekeeper在防範這些威脅方面只做了這麼多。Mac的危險是一個真正的問題,尤其是在Java插件和Adobe Flash等瀏覽器技術方面。
蘋果指出,對macOS(當時是osx)的威脅很大程度上來自於這樣一個事實:大多數蘋果電腦使用的是具有管理員權限的單一用戶帳戶。讓管理員(root)訪問您的計算機可以提供自主權,但在SIP之前,這會導致一些用戶無意中批准安裝惡意軟件。
簡而言之:你的Mac電腦是不安全的,即使是你自己。通過限制root訪問所能做的,蘋果有效地在你和你係統中最敏感的部分之間建立了一道屏障。這種方法的副作用是您不再擁有完全的控制權,特別是在調整外觀和應用程序行為時。
蘋果對macOS的控制越來越嚴,這讓一些用戶抱怨,該平臺過於緊跟蘋果移動平臺iOS的腳步。有利的一面是,iOS是市場上最安全的移動平臺,因此這種方法有一些優點。
SIP影響目錄、進程和內核擴展。這意味著您不能更改以下目錄:
這些目錄中的大多數甚至都不可見,因此保護的主要目的是防止第三方程序寫入這些區域。這還包括對核心系統文件進行更改的能力,這意味著與SIP之前的macOS相比,定製更少。
用戶和第三方應用程序仍然可以更改以下目錄:
SIP還保護大多數安裝在macOS上的應用程序免受干擾。
最後,第三方內核擴展(包括驅動程序)現在必須用Apple開發者ID簽名。如果存在未簽名的內核擴展,您的Mac將無法啟動。
自從SIP被引入後的幾年裡,開發人員和用戶都已經適應了某些系統組件的鎖定。許多開發人員從頭開始重寫應用程序,以便與SIP一起工作。此後,蘋果推出了更多已經適應蘋果限制的產品。
Mac應用商店中的所有應用程序都必須與SIP合作,才能獲得蘋果的批准。絕大多數第三方應用程序也可以正常工作。也有一些例外,比如Winclone,它仍然需要禁用(然後重新啟用)SIP,以執行其作為訓練營克隆工具的功能。
雖然有很多小型的方便的Mac調整來修復所有可用的東西,但深度系統的調整基本上已經不可行了。例如,設計用於改變查找器顏色、外觀和感覺的應用程序的主題化依賴於代碼注入,而這是您無法再做的。如果不從頭開始構建新的東西,這些應用程序就不再可行。
不過,軟件最終不會受到影響,除非開發人員明確指出。如果是這樣的話,也許值得尋找一個不同的應用程序來執行相同的任務。SIP的存在是為了保護你。對於絕大多數將macOS視為完成工作的功能基礎的用戶來說,在這些限制條件下生活是值得的。
如果您真的想禁用SIP,可以通過重新啟動到Mac的恢復分區(啟動時按住Cmd+R),然後使用csrutil命令行實用程序來實現。查看我們關於禁用SIP的完整指南,但我們建議您在完成修補後重新啟用它。
值得指出的是,每次更新操作系統或升級到新版本的macOS時,您的計算機都將重新啟用SIP。你最好把它放在上面,好好地處理,因為它是來這裡留下的。
蘋果為確保macOS的安全所做的努力使其擁有了極好的安全記錄。基於Unix平臺,macOS提供了蘋果特有的用戶友**和用戶隱私保護方法。它是以堅實的基礎和安全性為基礎完成的。
由於新軟件是以SIP為核心構建的,所以只有舊軟件、深層次的系統級調整以及古怪的利基第三方應用程序才會要求您禁用它。
最後,這是一個安全特性,也是一個遵循蘋果對macOS平臺設計敏感性的特性。既然蘋果操作系統的使用是購買Mac電腦的主要動力之一,那麼禁用這樣的功能就沒有多大意義了。
...與許多其他定製應用程式不同,這一個應用程式支援系統完整性保護(SIP),這是它應該做到的。 ...
... 你為什麼要讓偷你電腦的人使用它?Guest帳戶與Find My Mac功能協同工作。如果有人找到你的Mac,你可以在這個人以訪客身份登入(因為這是他們唯一可以訪問的帳戶)並使用Safar...
...後的手段。在這種情況下,去做吧。只需知道,禁用系統完整性保護(SIP)可以讓您在macOS中真正搞砸事情。這是有原因的。小心,確保你有備份,等等。完成後,一定要把它開啟。 ...
... 什麼是系統完整性保護(system integrity protection)? ...
... 從2015年的OS X El Capitan開始,蘋果推出了系統完整性保護(SIP)。這透過限制對裝置上敏感資料夾的訪問來提高Mac的安全性。很遺憾,您需要訪問protected/System資料夾才能執行此PDF調整。 ...
... 但是,您應該注意,除非禁用系統完整性保護,否則無法更改Mac的充電音效。因為連線充電器時播放的聲音檔案位於/System資料夾中(macOS會鎖定該資料夾以保護您的計算機),因此預設情況下無法重新命名...
...我們推薦的引導管理器。要安裝rEFInd,需要暫時禁用系統完整性保護。這是macOS的一個重要安全特性,因此請確保在以後再次啟用它。 ...
...前面提到的,macOS有幾個內建的保護層。其中之一,系統完整性保護(SIP),是在OSX El Capitan中引入的。本質上,SIP防止使用者和程式對作業系統的核心部分進行更改。 ...
...就不會意外地損壞或移動它們。但它也在一種被稱為系統完整性保護(SIP)的隱藏防禦背後保護重要檔案。 ...