OS X EI Capitan的 Rootless特性介紹

OS X EI Capitan的 Rootless特性

說蘋果最新的操做系統 OS X EI Capitan(10.11)是Rootless，實際上是一個不許備的說法，由於ROOT用戶仍是存在的。更準確的說法應該是 System Integrity Protection(系統完整性保護)。

這一特性能夠限制ROOT用戶的權限，即使你已是一個ROOT用戶，仍然不能掌控整個系統。這樣作的好處在於，惡意軟件再也不能得到你整個系統的控制權限，一般它們能夠假裝一個虛假的認證對話框顯示給用戶，騙取用戶的管理密碼。但同時，它也可能給你本來的正常操做帶來意想不到的限制，再也不能自由地定製本身的系統。但總的來講，它並不會阻止你的正常系統操做。

以下是它的詳細限制說明：

• 你不能修改 /System, /bin, /sbin, /usr (除了/usr/local)下的任何東西，也不能個性預裝的app和工具。只有從App Store安裝和更新應用時，才能更新這些區域。 因爲正常的OS X系統操做都是在/Library, ~/Library, Applications，/etc, /opt下進行的，因此這些限制都不是什麼大問題。要查看全部受限目錄的列表，您能夠查看文件/System/Library/Sandbox/rootless.conf，該文件自己就位於受限區域。

• 它一樣會阻止你修改你的啓動卷。若是要想從另外一個卷下啓動你的MAC，你可使用"系統偏好設置"下的"啓動磁盤"面板進行選擇切換。或者在你重啓時，按住Option鍵不放，而後從屏幕顯示的列表中選擇須要的啓動卷。

• 你不能使用工具鏈接系統進程進行一些調試工做，或者修改它們加載的動態庫。固然這也不是什麼大問題，開發者仍然能夠調用本身建立的用戶進程。這能夠阻止用戶向內置的應用注入代碼，同時一些基於dtrace的系統監控工具, 例如opensnoop，就不能再監控任何系統進程。

• 除非你是一名蘋果認證的工程師，不然你不能加載任何內核擴展。

如何禁用SIP限制

大部分的MAC用戶應該不須要禁用它，除非你是一個高級用戶，且對所面臨的風險具備充分的認識。在你準備禁用以前，請務必三思本身是否必定要操做這些受限區域，是否可使用非受限區域來進行你的操做。SIP在你未習慣時可能感受有一些約束感，但它所限制的一般都是應該被限制的。

若是你確實因爲開發或者調試的須要，確實須要禁用它，能夠按以下步驟進行操做：

1. 重啓MAC，並按住Command + R 使系統進行Recovery Mode (恢復模式)
2. 當OS X Utilities 界面出現時，從Utilities菜單中選擇 Terminal
3. 在Terminal中輸入 csrutil disable, 並重啓電腦
4. 重啓完成後，SIP已經被禁用，能夠經過csrutil status查看SIP狀態進行確認

$ csrutil status
 System Integrity Protection status: disabled