Mac-användare: OS X 10.11 El Capitan är här, och det är ganska bra. De flesta användare kommer att få en märkbar prestandaökning, och det finns några (relativt mindre) nya funktioner.
Men vad är den största förändringen som Apple gjorde den här gången? Säkerhet. OS X är nu så låst att även root-användare inte kan modifiera operativsystemet – låt oss gå igenom vad det betyder, eller hur?
Systemintegritetsskydd: roten har ingen kraft här
Kommer du ihåg den här gamla tecknade filmen?
Fattar du inte? Tja, i många UNIX-liknande system – inklusive OS X – kommandot sudo står för superanvändare. Att sätta “sudo” framför ett kommando, förutsatt att ditt användarkonto är en administratör, låter dig göra saker du inte kan annars.
I grund och botten, om du är en superanvändare, kan du göra vad som helst – såvida du inte, naturligtvis, kör El Capitan. I den här versionen av OS X kan du inte redigera kärnsystemfiler överhuvudtaget, oavsett om du är root.
Detta beror på System Integrity Protection (SIP) – ibland kallat rotlös – en ny funktion som innebär att användare och programvara från tredje part, inklusive skadlig programvara, inte kan ändra kärnsystemfiler.
För att sammanfatta betyder SIP att:
Kärnsystemfiler kan inte skrivas om, inte ens av root-användare. Injicera kod i skyddade processer är inte längre tillåtet av systemet. Endast signerade kärntillägg kan köras – inga undantag.
Grundidén här är att om du inte kan ändra dessa kärnfiler, inte heller skadlig programvara eller hackare. Men det finns några potentiella nackdelar, speciellt om du är den typen av användare som gillar att hacka eller anpassa saker.
Systemkataloger kan inte redigeras
I El Capitan kan innehållet i vissa mappar inte ändras av användaren eller något program som användaren kan välja att köra. Vilka mappar?
/System /bin /usr (förutom “/usr/local”) /sbin
Att testa detta är enkelt: gå till Terminal och försök skapa en ny katalog i /Systemet. Det kommer inte att fungera:
Det betyder att du, och alla program du kan välja att köra, inte kan göra några ändringar i OS X – även om du är en root-användare och även om du skriver ditt lösenord. Detta innebär också att skadlig programvara och hackare inte kan ändra något i dessa mappar.
Alla program som delvis fungerade genom att göra ändringar i dessa mappar kommer inte att fungera i El Capitan, punkt, utan någon form av uppdatering.
Och denna ändring är retroaktiv, vilket innebär att om du har gjort något för att redigera OS X tidigare kommer dessa ändringar att återgå när du uppgraderar till El Capitan – men du kan återställa alla filer och ändringar, om du vill, de är i /Library/SystemMigration.
Inget mer att injicera saker i minnet
Har du någonsin använt EasySIMBL, som låter dig anpassa nästan vad som helst på din Mac? Detta program kan lägga till funktionalitet till program och OS X självt, och åstadkommer detta genom att injicera kod i ett program som körs för närvarande. Till exempel: ett plugin för EasySIMBL gjorde att Twitters officiella Mac-klient stödde inbäddade bilder från Instagram, en funktion den annars inte har.
Det här kan vara riktigt coolt, men det är också med den exakta metodiken som många vanliga skadliga program använder för att göra alla möjliga otäcka saker. Det är inte längre möjligt i El Capitan.
Detta bryter saker som EasySIMBL och det populära Flashlight-pluginsystemet för Spotlight, på El Capitan – men förhindrar också alla möjliga teoretiskt möjliga skadliga program.
Inga fler osignerade kärntillägg
Kärntillägg är mjukvara som interagerar direkt med systemets kärna. De flesta Mac-användare kommer förmodligen aldrig att installera en kärntillägg, såvida de inte behöver drivrutiner för någon sorts tredje parts hårdvara.
Och från och med nu måste alla kärntillägg – inklusive drivrutiner – vara signerade för att kunna köras. Detta betyder att om du litar på en hårdvara som är beroende av en osignerad drivrutin, kommer den drivrutinen inte att laddas i El Capitan – din enhetstillverkare måste släppa en signerad drivrutin, annars kommer du inte att kunna använda din hårdvara.
Stänger av SIP/Rootless i El Capitan
Dessa förändringar kommer utan tvekan att förbättra säkerheten – men vissa människor tycker att det inte är värt att förlora friheten.
Oavsett om du håller med om dessa klagomål, eller helt enkelt litar på appar eller hårdvara som inte fungerar med SIP aktiverat, är det möjligt att stänga av den här säkerhetsfunktionen.
Systemintegritetsskydd kan inte inaktiveras från själva operativsystemet: du måste starta upp i OS X Recovery. Stäng av din Mac och håll sedan ned CMD+R medan den startar.
När systemet laddar OS X Recovery laddar du Terminal från menyraden och skriv sedan csrutil inaktivera och slå Stiga på. Om du senare vill aktivera SIP/rootless igen, upprepa denna process, men skriv csrutil aktivera i terminalen.
Alternativt kan du helt enkelt inte installera El Capitan på ett tag – du kan få de fantastiska funktionerna utan att uppgradera ändå.
Andra olika säkerhetskorrigeringar
SIP är inte den enda nya säkerhetsfunktionen i El Capitan – bara den mest anmärkningsvärda. Du kan läsa Apples långa lista med OS X-säkerhetsuppdateringar, om du vill, men här är några höjdpunkter:
Många ändringar i appar för att skydda nyckelringstillgång. Förbättrade krypteringsalgoritmer. Ändringar av EFI för att förhindra systemomfattande manipulering. En förbättrad form av tvåfaktorsautentisering för iCloud-användare.
Säkerhet eller frihet?
Jag har pratat om hur El Capitans nya säkerhetsfunktioner är slutet på Mac-anpassning, och kommentarerna jag fick förvånade mig – folk sa i princip “Så vad?”.
Kanske fler Mac-användare håller med om detta: att de hellre vill ha säkerhetsfunktioner som SIP än möjligheten att justera saker. Jag vill veta vad du tycker: finns det en avvägning här, och är det värt det? Låt oss prata om detta i kommentarerna.
Bildkrediter: “Sandwich” med tillstånd av XKCD
Om författaren
Justin Pot (783 publicerade artiklar)
Justin Pot är en teknikjournalist baserad i Portland, Oregon. Han älskar teknik, människor och natur – och försöker njuta av alla tre när det är möjligt. Du kan chatta med Justin på Twitter, just nu.
Mer från Justin Pot
Prenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, free e-böcker och exklusiva erbjudanden!
Klicka här för att prenumerera
