这两天大家纷纷将 OS X 系统升级到了 El Capitan,然后发现,一些注入的工具无法使用了,某些系统目录无法使用了,第三方未签名的 kext 无法加载了,问题一堆堆的。这是因为,Mac OS X 在 10.11 中全面启用了 System Integrity Protection (SIP) —— 系统完整性保护技术。

SIP 技术主要是用来限制 root 用户的权限,以提升系统的健壮性。

具体哪些目录受到保护,可以查看文件

/System/Library/Sandbox/rootless.conf

不被保护的列表存储在

/System/Library/Sandbox/Compatibility.bundle/Contents/Resources/paths

Mac 提供了内置 csrutil 配置来进行一些 SIP 的配置。在默认情况下,SIP 是开启状态,你可以用一下指令查看

$ csrutil status

System Integrity Protection status: enabled

可配置项如下,字面意思:

Apple Internal

Kext Signing

Filesystem Protections

Debugging Restrictions

DTrace Restrictions

NVRAM Protections

一. 白苹果用户

上面已经说过,Mac 提供了内置的 csrutil 工具来让用户进行一些配置,不过,你需要重启进入到 Recovery mode (Cmd + R on boot) 下进行操作。

csrutil 的一些常用命令

csrutil clear           # 清除 SIP 用户配置,即开启默认的 SIP

csrutil enable          # 开启 SIP

csrutil disable         # 禁用 SIP

csrutil status          # 查看当前 SIP 配置

关于 csrutil enable 可用参数为

csrutil enable --no-internal --without kext --without fs --without fs --without debug --without dtrace --without nvram

譬如说,如果你需要某系统目录的读写权限,譬如 homebrew 全新安装的时候,需要创建 /usr/local 目录,那么你需要

  1. 重启进入 Recovery mode
  2. 打开 Terminal.app,输入 csrutil enable --without fs
  3. 重启至正常系统下,打开 Terminal.app,安装 homebrew
  4. 再次重启至 Recovery mode
  5. 打开 Terminal.app,输入 csrutil enable
  6. 重启

如果想安装第三方的 kext,那么建议装在目录 /Library/Extensions/ 下。

二. 黑苹果 Clover 用户

这里只说 Clover 用户,你需要配置你的 Clover ,加入如下代码

<key>RtVariables</key>

<dict>

    <key>CsrActiveConfig</key>

    <string>0x11</string>

</dict>

<key>RtVariables</key> 跟 <key>SMBIOS</key> 同级,如下图

其中 CsrActiveConfig 的值 0x 后跟的是十六进制,Clover 中我们完全开启的值是 0x77,其中 77 转化为两进制为 01110111

对于 01110111,每一位开启 SIP 的特定功能,从右至左 8 个位置我们以 B0-B7 表示:

  • B0: 允许加载不受信任的 kext
  • B1: 解锁文件系统限制
  • B2: 允许 task_for_pid()调用
  • B3: 允许内核调试
  • B4: Apple 内部保留位,值为 1 等效于 csrutil enable
  • B5: 解锁 DTrace
  • B6: 解锁 NVRAM
  • B7: 允许设备配置

如此,我们很清楚了,如果我们只想加载修改的或第三方的 kext,只需 B0 于 B4 位置值为 1,则整个两进制值为 00010001,用 bc 命令行工具进行任意进制转换

$ echo "obase=16; ibase=2; 00010001"|bc

11

转化为十六进制为 11,则 CsrActiveConfig 值为 0x11

如果要同时解锁 kext 与 fs 呢,00010011 --> ?

$ echo "obase=16; ibase=2; 00010011"|bc

13

十六进制值为 13CsrActiveConfig 值为 0x13

为了有助于我们的理解,看下表所示

Configration N/A NVRAM Dtrace internal Debug PID FS Kext HEX Clover
csrutil enable --no-internal 0 0 0 0 0 0 0 0 00 0x00
csrutil enable 0 0 0 1 0 0 0 0 10 0x10
csrutil enable --without kext 0 0 0 1 0 0 0 1 11 0x11
csrutil enable --without fs 0 0 0 1 0 0 1 0 12 0x12
csrutil enable --without debug 0 0 0 1 0 1 0 0 14 0x14
csrutil enable --without dtrace 0 0 1 1 0 0 0 0 30 0x30
csrutil enable --without nvram 0 1 0 1 0 0 0 0 50 0x50
csrutil disable 0 1 1 1 0 1 1 1 77 0x77
csrutil disable (no internal) 0 1 1 0 0 1 1 1 67 0x67

原链接:http://havee.me/mac/2015-10/system-integrity-protection-on-el-capitan.html

[转载]El Capitan 中 SIP 介绍的更多相关文章

  1. El Capitan 中 SIP 介绍

    http://havee.me/mac/2015-10/system-integrity-protection-on-el-capitan.html 这两天大家纷纷将 OS X 系统升级到了 El C ...

  2. 【Xamarin挖墙脚系列:关闭 OS X El Capitan 中 SIP 安全设置功能】

    比如需要修改内核配置文件: com.apple.Boot.plist 那么我们需要解锁权限. 禁止SIP模式,那么就可以修改此文件了. 在 OS X El Capitan 中有一个跟安全相关的模式叫 ...

  3. Matlab 2013b 在El Capitan 中无法使用问题解决

    更新了mac的操作系统到El capitan, 结果发现Matlab打不开了,每次都弹出一个Java error的窗口.现实如下内容 java.lang.NullPointerException at ...

  4. [转]Mac OS X El Capitan(10.11)显示隐藏文件命令失效解决方法

    在Mac全新的系统El Capitan中,原先的显示系统中所有的隐藏文件的指令似乎失效了,只有重启以后才能显示,其实还有一个更简单的办法: 先在终端输入: defaults write com.app ...

  5. Mac OS X El Capitan系统完整性保护System Integrity Protection (SIP)

    http://blog.csdn.net/yulimin/article/details/49992031 引言:前段时间经历了XCode编译器代码被注入的事件后,这次 Mac OS X El Cap ...

  6. 0802_转载-nn模块中的网络层介绍

    0802_转载-nn 模块中的网络层介绍 目录 一.写在前面 二.卷积运算与卷积层 2.1 1d 2d 3d 卷积示意 2.2 nn.Conv2d 2.3 转置卷积 三.池化层 四.线性层 五.激活函 ...

  7. EL表达式中fn函数 (转载)

    JSTL 使用表达式来简化页面的代码,这对一些标准的方法,例如bean的getter/setter方法,请求参数或者context以及 session中的数据的访问非常方便,但是我们在实际应用中经常需 ...

  8. Mac制作U盘系统(OS X El Capitan)教程

    前言部分 重装过Mac OS X系统的人应该都深有体会,通过自带的重新安装 Mac OS X功能恢复系统(开机时按Command+R) 要耗费10几个小时才能完成(请求苹果国外服务器),但如果通过U盘 ...

  9. 纯window下VMware 安装 OS X El Capitan 原版映像【未完待续】

    一.所需软件1.下载OS X El Capitan 10.11.2 15C50链接:http://pan.baidu.com/s/1skuLgAx 密码:u2jf 2.下载VMware Worksta ...

随机推荐

  1. View and Data API Tips : Conversion between DbId and node

    By Daniel Du In View and Data client side API, The assets in the Autodesk Viewer have an object tree ...

  2. FlashBuilder4安装SVN插件步骤

    1. 选择菜单 帮助–> 安装新软件 2. 在使用里键入地址:  http://subclipse.tigris.org/update_1.6.x并点击添加 在Subclipse栏里选择带有Re ...

  3. undefined reference to `__android_log_print'

    使用android studio 编写NDK代码时出现错误:undefined reference to `__android_log_print' 解决办法: eclipse       andro ...

  4. swift学习笔记1——基础部分

    之前学习swift时的个人笔记,根据github:the-swift-programming-language-in-chinese学习.总结,将重要的内容提取,加以理解后整理为学习笔记,方便以后查询 ...

  5. Yii2 modal中 ajax提交表单

    view: // view 代码 $form = ActiveForm::begin(['id' => $model->formName()]); // js 代码 $js = <& ...

  6. 通过XShell链接虚拟机的CentOS

    今天在Win7环境通过XShell链接VirtualBox的CentOS;始终链接不上,原来是因为虚拟机选择网络链接方式不对[推荐连接方式:Host-only Adapter(主机模式). 知识提要: ...

  7. Wiki安装(PHP +Sqlite+Cache)

    前期准备 PHP http://windows.php.net/download   WinCache Extension for PHP URL:http://sourceforge.net/pro ...

  8. MMORPG大型游戏设计与开发(服务器 AI 逻辑设定和状态结点)

    人工智能(AI)中往往都会有这么一个问题,那就是我要做什么?我该怎么做?我需要什么?所以这里所谓的智能就是赋予AI对象的判断力,以及它根据判断得到的相应反应.就好比,你去商店买东西,钱够别人才卖给你, ...

  9. Mybatis

    Mybatis MyBatis本是apache的一个开源项目iBatis,2010年这个项目有Apache software foundation 迁移到了Google code,并改名MyBatis ...

  10. [No00008B]远程桌面发送“Ctrl+Alt+Delete”组合键调用任务管理器

    向远程桌面发送"Ctrl+Alt+Delete"组合键的两种方法 1.在本地按下Ctrl+Alt+End,可以成功发送"Ctrl+Alt+Delete"组合键! ...