Apple 發明了系統完整性保護,通常稱為 SIP,以保護 Mac 免受有害修改。此安全功能旨在使惡意軟件難以修改系統進程、位置和內核擴展。
SIP 可防止惡意軟件攻擊完成。禁用它會立即觸發 macOS 漏洞。請注意,這適用於有經驗的用戶或開發人員。一般來說,不要關閉 SIP。
但就像任何會產生限制的東西一樣,這個安全功能也有它的缺點。因此,如果您需要禁用系統完整性保護來解決問題,請按照以下步驟操作。
什麼是系統完整性保護?
首次在 OS X El Capitan 中引入的系統完整性保護是一種安全技術,旨在保護 Mac 上的文件和文件夾免受潛在惡意軟件的侵害。
在 SIP 發布之前,root 用戶帳戶可以完全訪問整個操作系統(Mac 上的任何系統文件夾或應用程序)。 具有 root 權限的惡意軟件可以使用它來破壞低級操作系統文件。
現在稱為“無根”,Mac 系統完整性保護限制根用戶執行某些操作,例如向系統進程添加代碼和管理受保護的位置。這是個好消息。 授予 root 權限的軟件不能再篡改系統文件。
系統的SIP保護部分
系統完整性保護有效地保護以下系統位置:
- /系統
- / 我們
- /地方
- /sbin
- /在哪裡
- macOS 預裝應用
嘗試篡改任何這些受保護的部分將導致以下消息:“啟用系統完整性保護時不允許操作。”授權 Apple 僅允許 Apple 簽名的進程(例如安裝程序和軟件更新)將文件寫入系統。
提示:
可以在 /System/Library/Sandbox/rootless.conf 中找到受保護位置的完整列表。
為什麼應該禁用系統完整性保護
“無根”最常見的問題是應用程序損壞。某些應用程序在安裝時可能無法正確安裝或無法正常運行。那時我收到消息“由於系統完整性保護而無法附加到進程”。
這些特定於應用程序的錯誤大多已成為過去。從那時起,大多數開發人員都更新了他們的軟件以符合最新的 macOS 版本。當然,也有例外。
請注意,SIP 不單獨對這些問題負責。未正確調整應用程序也是開發人員的責任。
筆記:
還有關於在 Mac 上清空廢紙簍的問題。 如果您收到錯誤消息“由於系統完整性保護,無法刪除回收站中的某些項目”,請使用以下步驟:
關閉 SIP 是否安全?
Apple 建議始終保持系統完整性保護開啟,但您可以根據需要禁用或啟用它。請注意,這可能會導致嚴重的安全問題。
在您關閉 SIP 之前,請對您的 Mac 進行 Time Machine 備份,以在出現問題時恢復您的計算機。仔細檢查您安裝的軟件是否來自受信任的來源。
為安全起見,我們建議在禁用 SIP 時使用反惡意軟件工具。 自從 Apple 對其進行公證以來,我一直依賴 CleanMyMac X。這意味著它已被提交檢查,並且配方本身不包含病毒。
惡意軟件刪除模塊允許您執行深度掃描並刪除您過去可能檢測到的惡意軟件。
以下是它的工作原理:
- 獲取 CleanMyMac X 的副本並啟動它。您可以在此處獲取版本。
- 選擇刪除惡意軟件。
- [スキャン]按下並等待幾秒鐘。
- 如果您發現任何可疑之處,[削除]請按刪除。
要啟用不間斷掃描,請啟用實時監視器以在後台運行。 轉到 CleanMyMac X 菜單 > 設置 > 保護並選中該功能旁邊的框。
如何禁用系統完整性保護
最新 macOS 中的 SIP 與之前的版本略有不同,但開啟/關閉的原因是相同的。讓我們看看如何做到這一點。
溫暖的:
同樣,除非您有充分的理由,否則不要禁用 SIP。 確保您為 Mac 啟用了一些備用保護層。
- 菜單欄中的 Apple 標誌 >[再起動]點擊。
- 在 Mac 啟動時按住 Command-R 以重新啟動進入恢復模式。
- 轉到實用程序 > 終端
- 類型
csrutil disable然後按鍵盤上的 Return 或 Enter。 - 單擊 Apple 徽標 > 重新啟動。
解決問題後立即啟用系統完整性保護。
如何啟用系統完整性保護
要將 SIP 恢復到完整功能,請再次執行前四個步驟。在終端中鍵入 csrutil enable 並重新啟動 Mac 以使更改生效。
- 打開終端應用程序
- 粘貼:
csrutil enable - 按回車
大多數應用程序及其安裝程序都可以在 SIP 開啟的情況下順利運行。儘管如此,在某些情況下禁用它是唯一的選擇。如果是這樣,我們已經告訴您該怎麼做。如果您沒有安裝防病毒軟件,請讓您的 macOS 保持最新狀態並為您的 Mac 獲取防病毒軟件。 我使用 CleanMyMac X,但還有許多其他不錯的選擇。
