Cómo deshabilitar la protección de integridad del sistema en una Mac (y por qué no debería hacerlo)
Mac OS X 10.11 El Capitan protege los archivos y procesos del sistema con una nueva característica llamada Protección de integridad del sistema. SIP es una función de nivel de kernel que limita lo que puede hacer la cuenta "raíz".
Esta es una gran característica de seguridad, y casi todos, incluso los "usuarios avanzados" y los desarrolladores, deberían dejarla habilitada. Pero, si realmente necesita modificar los archivos del sistema, puede evitarlo.
¿Qué es la protección de integridad del sistema??
En Mac OS X y otros sistemas operativos similares a UNIX, incluido Linux, hay una cuenta "raíz" que tradicionalmente tiene acceso completo a todo el sistema operativo. Convertirse en el usuario root, u obtener permisos de root, le brinda acceso a todo el sistema operativo y la capacidad de modificar y eliminar cualquier archivo. El software malicioso que obtiene permisos de root podría usar esos permisos para dañar e infectar los archivos del sistema operativo de bajo nivel.
Escriba su contraseña en un cuadro de diálogo de seguridad y le ha dado permisos de root a la aplicación. Esto tradicionalmente le permite hacer cualquier cosa a su sistema operativo, aunque muchos usuarios de Mac pueden no haberse dado cuenta de esto..
La Protección de integridad del sistema, también conocida como "sin raíz", funciona al restringir la cuenta raíz. El propio kernel del sistema operativo verifica el acceso del usuario root y no le permite hacer ciertas cosas, como modificar ubicaciones protegidas o inyectar código en procesos protegidos del sistema. Todas las extensiones del kernel deben estar firmadas, y no puede desactivar la Protección de integridad del sistema desde Mac OS X en sí. Las aplicaciones con permisos de raíz elevados ya no pueden manipular los archivos del sistema.
Es muy probable que note esto si intenta escribir en uno de los siguientes directorios:
- /Sistema
- /compartimiento
- / usr
- / sbin
OS X simplemente no lo permitirá, y verá un mensaje de "Operación no permitida". OS X tampoco le permitirá montar otra ubicación en uno de estos directorios protegidos, por lo que no hay forma de evitar esto.
La lista completa de ubicaciones protegidas se encuentra en /System/Library/Sandbox/rootless.conf en su Mac. Incluye archivos como las aplicaciones Mail.app y Chess.app que se incluyen con Mac OS X, por lo que no puede eliminarlas, incluso desde la línea de comandos como usuario root. Esto también significa que el malware no puede modificar e infectar esas aplicaciones, sin embargo.
No por casualidad, la opción de "reparación de permisos de disco" en la Utilidad de Discos, utilizada durante mucho tiempo para solucionar diversos problemas de Mac, ahora se ha eliminado. La protección de integridad del sistema debería evitar que los permisos de archivos cruciales sean manipulados, de todos modos. La Utilidad de Discos se ha rediseñado y aún tiene una opción de "Primeros Auxilios" para reparar errores, pero no incluye ninguna forma de reparar permisos.
Cómo deshabilitar la protección de integridad del sistema
Advertencia: ¡No hagas esto a menos que tengas una buena razón para hacerlo y sepas exactamente lo que estás haciendo! La mayoría de los usuarios no necesitarán deshabilitar esta configuración de seguridad. No está pensado para evitar que juegues con el sistema, sino para evitar que el malware y otros programas que se comportan mal se metan con el sistema. Pero algunas utilidades de bajo nivel solo pueden funcionar si tienen acceso sin restricciones.
La configuración de Protección de integridad del sistema no se almacena en Mac OS X en sí. En su lugar, se almacena en NVRAM en cada Mac individual. Solo se puede modificar desde el entorno de recuperación..
Para iniciar el modo de recuperación, reinicie su Mac y mantenga presionado Comando + R mientras se inicia. Entrarás en el entorno de recuperación. Haga clic en el menú "Utilidades" y seleccione "Terminal" para abrir una ventana de terminal.
Escriba el siguiente comando en el terminal y presione Enter para verificar el estado:
estado de csrutil
Verás si la protección de integridad del sistema está habilitada o no.
Para deshabilitar la protección de integridad del sistema, ejecute el siguiente comando:
csrutil desactivar
Si decide que desea habilitar SIP más tarde, vuelva al entorno de recuperación y ejecute el siguiente comando:
habilitar csrutil
Reinicie su Mac y su nueva configuración de Protección de integridad del sistema entrará en vigencia. El usuario root ahora tendrá su acceso completo y sin restricciones al sistema operativo completo y a cada archivo..
Si anteriormente tenía archivos almacenados en estos directorios protegidos antes de actualizar su Mac a OS X 10.11 El Capitan, no se han eliminado. Los encontrará movidos al directorio / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / en su Mac.
Crédito de la imagen: Shinji en Flickr