Configuración de protección de integridad del sistema macOS

Question

Configuración de protección de integridad del sistema macOS

eugenio wolffe

Estaba buscando bloquear la configuración en algunas Mac y quería saber si hay alguna forma de cambiar los archivos y carpetas que protege SIP. Sé que se puede deshabilitar y ver sus reglas actuales, pero ¿hay alguna forma de agregar sus propios directorios protegidos?

Gracias

Respuestas (2)

Configuración de protección de integridad del sistema macOS

klanomath · Answer 1

Es posible agregar su propio directorio protegido a SIP:

Arranque en modo de recuperación y deshabilite SIP
Reinicie y cree una estructura de directorios.

Marque toda la carpeta o archivos o carpetas individuales:

sudo chflags restricted /example
sudo chflags restricted /example/example.app
sudo chflags restricted /example/subdir/file

o una jerarquía de carpetas:

sudo chflags -R restricted /example

Si desea excluir un subdirectorio después de usar la opción -R, debe eliminar el indicador restringido allí:

sudo chflags norestricted /example/subdir

Arranque en modo de recuperación y habilite SIP

Ahora las carpetas example , example.app y el archivo /example/subdir/file están protegidos. Todavía puede agregar o eliminar archivos a/desde /example/subdir .

El indicador restringido no tiene efecto si SIP está deshabilitado; se aplican los permisos habituales de POSIX/ACL. Con SIP habilitado, los archivos/carpetas están protegidos.

También es posible agregar, eliminar o cambiar archivos y directorios protegidos por SIP a través de un paquete de instalación que está firmado por la propia autoridad de certificación de Apple. Dado que un usuario/cliente normal normalmente no tiene acceso a esta autoridad de certificación, esta posibilidad se elimina.

Una versión anterior de esta respuesta afirmó que se requiere modificar el archivo /System/Library/Sandbox/rootless.conf y agregar algo como:

                                /example
                                /example/example.app
*                               /example/subdir
                                /example/subdir/file

¡Esto está mal! Simplemente marcar un archivo o carpeta como restringido es suficiente para protegerlo.

Por favor, aclare: ¿Por qué es "incorrecto", es innecesario, no funciona, se extralimita, es una mala práctica...

JMY1000 · Answer 2

~~Que yo sepa, no hay forma de modificar qué directorios protege SIP; SIP está activado o desactivado . Apple tampoco parece mencionar tal capacidad en sus documentos de desarrollador.~~

Ignore esto, @kanomath tiene una mejor respuesta. La última parte de mi respuesta aún se mantiene en un grado limitado.

Si desea bloquear los archivos de configuración, modifique los permisos del sistema de archivos a través de la GUI del Finder o la utilidad de línea de comandos chown.

Configuración de protección de integridad del sistema macOS

eugenio wolffe

Respuestas (2)

klanomath

LаngLаngС

JMY1000

JMY1000

¿Proteger cada cuenta de usuario en Lion?

¿Cómo me protejo de la vulnerabilidad raíz en macOS High Sierra?

¿Cuál es realmente la función "sin raíces" en El Capitán?

¿Cómo modifican los servicios del sistema los directorios protegidos con protección de integridad del sistema?

¿Cómo me aseguro de que el error de la cuenta raíz de macOS esté completamente solucionado en mi máquina?

Aparte del error del usuario, ¿qué tipos de ataques evitaría SIP?

¿Manera de saber de dónde viene un cuadro de diálogo de contraseña?

¿Hay alguna forma de formatear/eliminar automáticamente mi SSD después de x intentos de inicio de sesión fallidos?

La papelera no se vacía debido al archivo P ͎̮͉͍ͨ̈́̾̈́A ͎̮͉͍ͨ̈́̾̈́I ͎̮͉͍ͨ̈́̾̈́N ͎̮͉͍ͨ̈́̾̈́.jpg

Deshabilite TODAS las solicitudes de contraseña en Finder