Mac에서 시스템 무결성 보호를 비활성화하는 방법 (그리고 왜 그렇지 않아야합니까?)
Mac OS X 10.11 El Capitan은 System Integrity Protection이라는 새로운 기능으로 시스템 파일과 프로세스를 보호합니다. SIP는 "루트"계정이 할 수있는 것을 제한하는 커널 수준의 기능입니다.
이것은 훌륭한 보안 기능이며 "파워 유저"와 개발자를 포함한 거의 모든 사람들이이 기능을 사용 가능하게 유지해야합니다. 그러나 실제로 시스템 파일을 수정해야하는 경우 무시할 수 있습니다..
시스템 무결성 보호 란 무엇입니까??
Mac OS X 및 Linux를 비롯한 다른 UNIX와 유사한 운영 체제에는 전통적으로 전체 운영 체제에 대한 전체 액세스 권한을 가진 "루트"계정이 있습니다. 루트 사용자가되거나 루트 권한을 얻으면 전체 운영 체제에 액세스 할 수 있고 파일을 수정하고 삭제할 수 있습니다. 루트 권한을 얻은 맬웨어는 이러한 권한을 사용하여 낮은 수준의 운영 체제 파일을 손상시키고 감염시킬 수 있습니다..
보안 대화 상자에 암호를 입력하고 응용 프로그램 루트 권한을 부여했습니다. 이것은 전통적으로 많은 Mac 사용자가이 사실을 깨닫지는 못했지만 운영 체제에서 아무 것도 할 수 없었습니다..
시스템 무결성 보호는 "루트리스"라고도하며 루트 계정을 제한하여 작동합니다. 운영 체제 커널 자체는 루트 사용자의 액세스를 확인하고 보호 된 위치 수정 또는 보호 된 시스템 프로세스에 코드 삽입과 같은 특정 작업을 수행 할 수 없도록합니다. 모든 커널 확장에 서명해야하며 Mac OS X 자체에서 시스템 무결성 보호를 비활성화 할 수 없습니다. 루트 권한이 상승 된 응용 프로그램은 더 이상 시스템 파일을 변조 할 수 없습니다..
다음 디렉토리 중 하나에 쓰려고하면이 사실을 알 수 있습니다.
- /체계
- /큰 상자
- / usr
- / sbin
OS X에서는이를 허용하지 않으며 "허용되지 않는 작업"메시지가 표시됩니다. 또한 OS X은 이러한 보호 된 디렉토리 중 하나에 다른 위치를 마운트 할 수 없기 때문에이 방법을 사용할 수 없습니다.
보호 된 위치의 전체 목록은 Mac의 /System/Library/Sandbox/rootless.conf에서 찾을 수 있습니다. 여기에는 Mac OS X에 포함 된 Mail.app 및 Chess.app 응용 프로그램과 같은 파일이 포함되어 있으므로 명령 줄에서 루트 사용자로도 제거 할 수 없습니다. 이것은 또한 맬웨어가 이러한 응용 프로그램을 수정하고 감염시킬 수 없음을 의미합니다..
우연히도, 다양한 Mac 문제를 해결하는 데 오래 동안 사용 된 디스크 유틸리티의 "디스크 복구 권한"옵션이 제거되었습니다. 시스템 무결성 보호 (System Integrity Protection)는 중요한 파일 사용 권한이 임의로 변경되는 것을 방지해야합니다. 디스크 유틸리티가 다시 설계되었으며 오류 복구를위한 "First Aid"옵션이 있지만 사용 권한을 수정할 방법이 없습니다.
시스템 무결성 보호를 해제하는 방법
경고: 당신이 그렇게하고, 당신이하고있는 것을 정확히 알고있는 아주 좋은 이유가 없다면 이것을하지 마십시오! 대부분의 사용자는이 보안 설정을 해제 할 필요가 없습니다. 악성 코드 및 기타 잘못 처리 된 프로그램이 시스템을 망치는 것을 방지하기 위해 시스템을 망칠 수 없습니다. 그러나 일부 저수준 유틸리티는 제한되지 않은 액세스 권한이있는 경우에만 작동 할 수 있습니다.
시스템 무결성 보호 설정은 Mac OS X 자체에 저장되지 않습니다. 대신 각 Mac의 NVRAM에 저장됩니다. 복구 환경에서만 수정할 수 있습니다..
복구 모드로 부팅하려면 Mac을 재시동하고 Command + R을 부팅 할 때까지 기다리십시오. 복구 환경을 시작합니다. "유틸리티"메뉴를 클릭하고 "터미널"을 선택하여 터미널 창을 엽니 다..
터미널에 다음 명령을 입력하고 Enter 키를 눌러 상태를 확인하십시오.
csrutil 상태
시스템 무결성 보호가 활성화되어 있는지 여부가 표시됩니다..
시스템 무결성 보호를 사용하지 않으려면 다음 명령을 실행하십시오.
csrutil disable
나중에 SIP를 활성화하려면 복구 환경으로 돌아가서 다음 명령을 실행하십시오.
csrutil enable
Mac을 다시 시작하면 새로운 시스템 무결성 보장 설정이 적용됩니다. 이제 루트 사용자는 전체 운영 체제 및 모든 파일에 대한 제한없는 전체 액세스 권한을 갖게됩니다.
Mac을 OS X 10.11 El Capitan으로 업그레이드하기 전에 이전에 이러한 보호 된 디렉토리에 파일을 저장 한 적이 있다면 삭제되지 않았습니다. 이 파일은 Mac의 / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / 디렉토리로 이동합니다..
이미지 크레디트 : Flickr의 Shinji