Apple heeft de laatste jaren, met het populairder worden van hun hard- en software, steeds meer aandacht geschonken aan beveiliging. Zo is de App Store ontstaan, kennen we inmiddels de full disk versleuteling (FileVault) en help GateKeeper ongewenste software buiten de deur te houden.
In de laatste versie van OS X “El Capitan’ zijn ze nog een stukje verder gegaan en is ‘System Integrity Protection’ gelanceerd.
Veel gebruikers van OS X zijn de enige gebruiker op het systeem. Met de installatie wordt het eerste account gecreëerd. Dit account heeft beheerders rechten op de Mac. Het is vaak ook het enige account dat men maakt en dagelijks gebruikt. Een ander account dat standaard aanwezig is op elk UNIX besturingssysteem is de zogenaamde Root gebruiker. Deze Root is almachtig en kan alles, waaronder het wijzigen of verwijderen van systeembestanden.
Als ‘normale’ gebruikers met een admin (beheer) account dagelijks inloggen en werken is het maar een kleine stap om een proces Root rechten te geven. Bij installatie van software wordt al snel, zonder te lezen of überhaupt na te denken, het admin wachtwoord ingetypt als daar om gevraagd wordt. Vervolgens kunnen allerlei bestanden gewijzigd of verwijderd worden. Er is immers toestemming gegeven?
Met de nieuwe functie ‘System Integrity Protection’ (SIP) wordt voorkomen dat deze systeembestanden aangepast kunnen worden. Zelfs de Root mag niet zomaar bestanden overschrijven of wijzigen. Vandaar dat de functie ook wel ‘Rootless’ genoemd wordt. Tevens wordt met SIP het kiezen van een andere disk als opstart disk bemoeilijkt. Uiteraard gaat dat nog wel via StartupDisk in System Preferences of via de Option toets bij het opstarten.
De volgende folders binnen OS X worden in El Capitan met behulp van SIP /System beschermd:
- /usr
- /bin
- /sbin
- Applicaties die meegeleverd worden met OS X
Installers en applicaties kunnen nog wel schrijven in de volgende folders
- /Applications
- /Library
- /usr/local
System Integrity Protection is zo ontwikkeld dat updates van Apple en installers van Apple wel speciale toegang hebben, zodat het gehele besturingssysteem wel voorzien kan worden van updates. Apps van andere partijen zouden hierdoor wel eens conflicterend kunnen werken.
Via DiskUtility kun je controleren of System Integrity Protection actief is. Open hiervoor Disk Utility, selecteer de disk waar OS X geïnstalleerd staat en klik op de knop Info. Zoek vervolgens in de lijst de optie SIP op.
Het is ook mogelijk om System Integrity Protection uit te schakelen. Uiteraard is dit op eigen risico!
Start de Mac op in de Recovery Modus. Selecteer in de menubalk de Terminal en typ het commando
csrutil disable
Herstart je Mac en bij controle met DiskUtility zou SIP nu uitgeschakeld moeten zijn. Wil je weer terug? Voer dezelfde handelingen nogmaals uit en wijzig ‘disable’ in ‘enable’ (uiteraard zonder quotes).