Mida Maci kasutajad peavad El Capitani turvalisuse kohta teadma?

Reklaam

Maci kasutajad: OS X 10.11 El Capitan on siin ja see on päris tore OS X El Capitan on kohal! Uuendage sujuvamaks Mac-kogemuseksMac OS X El Capitan on peen väljalase: selle suurimaid muudatusi pole näha - kuid tõenäoliselt märkate neid ikkagi. Loe rohkem . Enamik kasutajaid parandab jõudlust märkimisväärselt ja on ka mõned (suhteliselt väikesed) uued funktsioonid.

Kuid mis on suurim muudatus, mille Apple seekord tegi? Turvalisus. OS X on nüüd nii lukustatud, et isegi juurkasutajad ei saa opsüsteemi muuta - vaatame üle, mida see tähendab?

Süsteemi terviklikkuse kaitse: juurel pole siin jõudu

Mäletate seda vana koomiksit?

Kas te ei saa aru? Noh, paljudes UNIX-i sarnastes süsteemides - sealhulgas OS X - käsk sudo tähistab superkasutajat. Kui asetate sudo käsu ette, eeldades, et teie kasutajakonto on administraator, saate teha asju, mida te muidu ei saa.

Kui olete superkasutaja, võite teha ükskõik mida - välja arvatud juhul, kui te muidugi juhite El Capitani. Selles OS X selles versioonis ei saa te põhilisi süsteemifaile üldse redigeerida, sõltumata sellest, kas olete juur.

Selle põhjuseks on Süsteemi terviklikkuse kaitse (SIP) - mõnikord kutsutakse juurteta - uus funktsioon, mis tähendab, et kasutajad ja kolmanda osapoole tarkvara, sealhulgas pahavara, ei saa süsteemi põhifaile muuta.

Kokkuvõtlikult tähendab SIP järgmist:

• Põhisüsteemi faile ei saa isegi juurkasutajad ümber kirjutada.
• Koodide süstimine kaitstud protsessidesse pole süsteem enam lubatud.
• Käitada saavad ainult allkirjastatud kernelilaiendid - erandid puuduvad.

Põhiidee on see, et kui te ei saa neid põhifaile muuta, samuti ei saa pahavara ega häkkerid. Kuid on ka potentsiaalseid varjukülgi, eriti kui olete selline kasutaja, kellele meeldib asju häkkida või neid kohandada.

Süsteemikatalooge ei saa redigeerida

El Capitanis ei saa kasutaja muuta teatud kaustade sisu ega ühtegi programmi, mida kasutaja võib valida käivitada. Millised kaustad?

• /System
• /bin
• / usr (välja arvatud “/ usr / local”)
• /sbin

Selle testimine on lihtne: minge edasi Terminal ja proovige luua uus kataloog kaustas /System. See ei toimi:

See tähendab, et teie ja kõik teie käivitatavad programmid ei saa OS X-is muudatusi teha - isegi kui olete juurkasutaja ja isegi siis, kui sisestate parooli. See tähendab ka, et pahavara ja häkkerid ei saa neis kaustades midagi muuta.

Ükski rakendus, mis osaliselt toimis nendesse kaustadesse muudatuste tegemise teel, ei tööta El Capitanis täismahus ilma mingisuguse värskenduseta.

Ja see muudatus on tagasiulatuv, mis tähendab, et kui olete OS Xi redigeerimiseks varem midagi teinud, on need muudatused tehtud El Capitani versiooniuuendusele naasmiseks - kuid saate kõik failid ja muudatused taastada, kui soovite, /Library/SystemMigration.

Püha põrgu. Kui installite Mac OS X 10.11 "El Jefe", teisaldab rootless * hulga * asju kausta / Library / SystemMigration / Mul on 2006. aastast kraami!

- Rosyna Keller (@rosyna) 21. september 2015

Enam pole vaja asju mällu süstida

Kas sa kunagi kasutasid EasySIMBL, mis võimaldab teil oma Macis peaaegu kõike kohandada Kohandage rakendusega EasySIMBL peaaegu kõike oma MacisAlates menüüriba peitmisest, kui teatud rakendused on avatud, kuni Instagrami piltide manustamiseni ametlikku Twitteri rakendusse, saate EasySIMBL-iga teha asju, mida te ilmselt ei teadnud, et need on võimalikud. Loe rohkem ? See programm saab lisada funktsioone programmidele ja OS X-le ning täidab seda, süstides koodi praegu töötavale programmile. Näiteks: üks pistikprogramm EasySIMBL-i jaoks tegi Twitteri ametlikust Maci kliendi toest manustatud pildid Instagramist - funktsioonil, mida tal muidu pole.

See võib olla väga lahe, kuid kasutab ka täpset metoodikat, mida paljud levinud pahavara kasutavad igasuguste vastikute asjade tegemiseks. El Capitanil pole see enam võimalik.

@ jolan78@comex easysimbl purustatakse 10.10.3+. tulevik on tänu juurteta igatahes üsna sünge (tahtlikult pole seda lihtne keelata)

—?????? 3G??? x??? (@hbkirb) 22. august 2015

See rikub sellised asjad nagu EasySIMBL ja populaarne Spotlighti pistikprogramm Flashlight Lisage ülivõimud selle mitteametliku pistikprogrammisüsteemi tähelepanu keskpunktiTooge Google, Wolfram Alpha, ilm ja peaaegu kõik muu Spotlighti. Loe rohkem , El Capitanil - kuid hoiab ära ka igasuguse teoreetiliselt võimaliku pahavara.

Enam pole kirjutamata tuumalaiendeid

Kerneli laiendid on tarkvara tükid, mis toimivad vahetult süsteemi tuumaga. Enamik Maci kasutajaid ei installi kunagi kerneli laiendust, välja arvatud juhul, kui nad vajavad draiverid mingisuguse kolmanda osapoole riistvara jaoks.

. @ZetesIndustries palun võtke oma draiverid alla Mac OS-i jaoks allkirjastatud "enimmüüdud eid-lugeja" jaoks. Turvalisus on oluline. pic.twitter.com/nubvHiItTe

- Andrew Fecheyr (@andruby) 25. jaanuar 2015

Ja nüüdsest peavad käitamiseks kõik tuumalaiendid - sealhulgas draiverid - allkirjastama. See tähendab, et kui tuginete allkirjastamata draiverile tuginevale riistvarale, siis see draiverit ei laadita El Capitanis - teie seadme tootja peab vabastama allkirjastatud draiveri või vastasel juhul ei saa te seda kasutada riistvara.

SIP / juurte väljalülitamine El Capitanis

Need muudatused parandavad kahtlemata turvalisust - kuid mõne inimese arvates ei ole vabaduse kaotamine seda väärt.

Mac Os X El Capitan on õudusunenägu arendajatele, kellel on juurteta juurutamine

- Necromant2005 (@ necromant2005) 5. oktoober 2015

See turvafunktsioon on võimalik välja lülitada sõltumata sellest, kas nõustute nende kaebustega või loote lihtsalt rakendustele või riistvarale, mis ei tööta SIP-iga.

Süsteemi terviklikkuse kaitset ei saa OS-is keelata: peate sisse logima OS X taastamine. Lülitage Mac välja ja hoidke siis nuppu CMD + R kuni see käivitub.

Kui süsteem on laadinud OS X taastamise, laadige see Terminal menüüriba alt tippige csrutil keela ja lööma Sisenema. Kui soovite hiljem SIP / juurteta sisse lülitada, korrake seda toimingut, kuid tippige csrutil lubada terminalis.

Teise võimalusena ei saaks mõnda aega lihtsalt El Capitani installida - saate saate suurepäraseid funktsioone ilma täiendamiseta Ärge oodake, hankige OS X 11.10 El Capitani funktsioonid kohe YosemitesEhkki OS X 11.10-le on jõudmas mõned toredad uued funktsioonid ja täpsustused, saate enamiku tulevastest funktsioonidest hankida juba täna installides kolmanda osapoole tarkvara. Loe rohkem igatahes.

Muud mitmesugused turvaparandused

SIP pole El Capitani ainus uus turvafunktsioon - vaid kõige tähelepanuväärsem. Saad lugeda Apple'i pikk nimekiri OS X turbevärskendustest, kui soovite, kuid siin on mõned olulisemad sündmused:

• Võtmehoidjale juurdepääsu kaitsmiseks on rakendustesse tehtud palju muudatusi.
• Täiustatud krüpteerimisalgoritmid.
• Muudatused EFI-s kogu süsteemi rikkumise vältimiseks.
• Täiustatud vorm kahefaktoriline autentimine Mis on kahefaktoriline autentimine ja miks peaksite seda kasutamaKahefaktoriline autentimine (2FA) on turvameetod, mis nõuab teie identiteedi tõestamiseks kahte erinevat viisi. Seda kasutatakse tavaliselt igapäevaelus. Näiteks krediitkaardiga maksmine ei nõua mitte ainult kaarti, ... Loe rohkem iCloudi kasutajatele.

Turvalisus või vabadus?

Uhh, kui ma pean root-režiimi välja lülitama el capitanis, et saaksin oma maci ikoonid asendada, tundub see imelik

- Zach Smith (@Zacitus) 24. juuli 2015

Ma olen rääkinud El Capitani uutest turvafunktsioonidest Maci kohandamise lõpp El Capitan tähendab Maci teemade lõppu ja süsteemide sügavaid näpunäiteidKui teile meeldib oma Maci kohandamine, võib Yosemite olla teie jaoks sobiv OS X viimane versioon. Ja see on liiga halb. Loe rohkem , ja kommentaarid, mis sain, üllatasid mind - inimesed ütlesid põhimõtteliselt “Mis siis?”.

Võib-olla nõustuvad rohkem Maci kasutajad sellega, et neil on pigem turvafunktsioonid, näiteks SIP, kui võimalus asju näpistada. Ma tahan teada, mida te arvate: kas siin on kompromissi ja kas see on seda väärt? Räägime sellest kommentaarides.

Pildikrediidid: “Võileib”Viisakalt kokku XKCD-ga