Tizimning yaxlitligini himoya qilish - System Integrity Protection

Tizimning yaxlitligini himoya qilish
MacOS-da mavjud bo'lgan xavfsizlik qatlamlari
MacOS-da mavjud bo'lgan xavfsizlik qatlamlari
Tuzuvchi (lar)Apple Inc.
Dastlabki chiqarilish2015 yil 16 sentyabr; 5 yil oldin (2015-09-16)
Operatsion tizimmacOS
Bilan kiritilganOS X El Capitan (OS X 10.11) va undan keyingi versiyalar
TuriKompyuter xavfsizligi dasturi
Veb-saytishlab chiquvchi.olma.com/ kutubxona/Arxiv/ hujjatlar/ Xavfsizlik/ Kontseptual/ Tizim_Holislik_Xavfsizlik_Yo'riqnoma/ Kirish/ Kirish.html

Tizimning yaxlitligini himoya qilish (SIP,[1] ba'zan deb nomlanadi ildizsiz[2][3]) ning xavfsizlik xususiyati olma "s macOS operatsion tizim yilda kiritilgan OS X El Capitan (2015) (OS X 10.11). U tomonidan amalga oshiriladigan bir qator mexanizmlarni o'z ichiga oladi yadro. Asosiy qism - bu tizimga tegishli himoya fayllar va kataloglar tomonidan bajarilgan bo'lsa ham, ma'lum bir "huquqsiz" jarayonlar bilan modifikatsiyaga qarshi root foydalanuvchisi yoki bilan foydalanuvchi root imtiyozlari (sudo ).

Apple-ning ta'kidlashicha, root foydalanuvchi tizim xavfsizligi uchun, ayniqsa, bitta tizimga ega bo'lgan tizim uchun katta xavf omili bo'lishi mumkin foydalanuvchi qayd yozuvi bu foydalanuvchi ham ma'mur bo'lgan. SIP sukut bo'yicha yoqilgan, ammo uni o'chirib qo'yish mumkin.[4][5]

Asoslash

Apple kompaniyasining ta'kidlashicha, tizimning yaxlitligini himoya qilish yuqori darajadagi xavfsizlikni ta'minlash uchun zarur qadamdir. Birida WWDC ishlab chiquvchilar sessiyalari, Apple muhandisi Per-Olivier Martel cheklovsiz tasvirlab berdi root kirish tizimning qolgan zaif tomonlaridan biri sifatida "har qanday zararli dastur bitta parol yoki zaiflik MacOS-ning aksariyat o'rnatmalarida faqat ma'muriy hisobga olish ma'lumotlarini olib yuradigan bitta foydalanuvchi qayd yozuvi mavjud, demak ko'pchilik foydalanuvchilar so'ragan har qanday dasturga root kirish huquqini berishlari mumkin. bunday tizimda so'raladi va ularning parolini kiritadi - bu Martel ko'pincha zaif yoki umuman mavjud emasligini aytadi - butun tizim xavfsizligi buzilishi mumkin.[4] Ildizning kuchini cheklash macOS-da misli ko'rilmagan. Masalan, oldin MacOS versiyalari Mac OS X Leopard majburlash 1-daraja ning xavfsiz daraja, kelib chiqishi xavfsizlik xususiyati BSD va macOS qisman asoslangan uning hosilalari.[6]

Vazifalar

Tizimning ishlashiga ruxsat berilmaganda yuklash jarayonida ko'rsatiladigan taqiqlangan belgi (bitta chiziq kesib o'tgan doira).
"taqiqlovchi belgi "[7] macOS-ni bajarishga ruxsat berilmaganida ko'rsatiladi yuklash jarayoni. Bu "kext imzosi" yoqilganda va foydalanuvchi imzosiz o'rnatganida yuz berishi mumkin yadro kengaytmasi.

Tizimning yaxlitligini himoya qilish quyidagi mexanizmlardan iborat:

Tizimning yaxlitligini himoya qilish himoya qilish uchun belgilangan tizim fayllari va kataloglarini himoya qiladi. Bu qo'shilishi bilan sodir bo'ladi kengaytirilgan fayl atributi faylga yoki katalogga, faylni yoki katalogni qo'shish orqali /System/Library/Sandbox/rootless.conf yoki ikkalasi ham. Himoyalangan kataloglar orasida: / Tizim, / bin, / sbin, / usr (lekin emas / usr / local).[8] Dan ramziy havolalar /va boshqalar, / tmp va / var ga / xususiy / va boshqalar, / xususiy / tmp va / xususiy / var maqsadli kataloglar o'zlari himoyalanmagan bo'lsa ham, himoyalangan. Oldindan o'rnatilgan Apple dasturlarining aksariyati / Ilovalar shuningdek himoyalangan.[1] The yadro, XNU, maxsus huquqlarisiz barcha jarayonlarni bayroqlangan fayllar va kataloglarning ruxsatnomalari va tarkibini o'zgartirishni to'xtatadi, shuningdek himoyalanganlarga nisbatan kod kiritish, ish vaqti qo'shilishi va DTrace-ni oldini oladi. bajariladigan fayllar.[9]

Beri OS X Yosemite kabi yadro kengaytmalari haydovchilar, bo'lishi kerak kod bilan imzolangan ma'lum bir Apple huquqi bilan. Ishlab chiquvchilar Apple-dan bunday huquq bilan ishlab chiquvchi identifikatorini talab qilishlari kerak.[10] Yadro rad etadi yuklash agar imzosiz kengaytmalar mavjud bo'lsa, foydalanuvchini ko'rsatadigan a taqiq belgisi o'rniga. "Kekst imzosi" deb nomlangan ushbu mexanizm Tizimning yaxlitligini himoya qilish tizimiga qo'shildi.[4][11]

Tizimning yaxlitligini himoya qilish, shuningdek, SIP kuchga kirganda tizim dasturlarini chaqirishda atrof-muhitning ba'zi o'zgaruvchilarini zararsizlantirishga imkon beradi. Masalan, SIP sanitarizatsiya qiladi LD_LIBRARY_PATH va DYLD_LIBRARY_PATH kabi tizim dasturini chaqirishdan oldin / bin / bash Bash jarayoniga kod kiritishdan saqlanish uchun.[12]

Konfiguratsiya

Tizimning yaxlitligini himoya qilish faqat tashqaridan o'chirilishi mumkin (to'liq yoki qisman) tizim bo'limi. Shu maqsadda Apple kompaniyasi tsrutil buyruq qatori yordam dasturi dan bajarilishi mumkin Terminal ichidagi oyna tiklash tizimi yoki qurilmaga yuklash argumentini qo'shadigan bootable macOS o'rnatish diskini NVRAM. Bu sozlamani El Capitan yoki macOS Sierra qurilmada.[4] MacOS-ni o'rnatgandan so'ng, o'rnatuvchi bayroqlangan tizim katalogidagi noma'lum qismlarni ko'chiradi / Library / SystemMigration / History / Migration- [UUID] / QuarantineRoot /.[1][4] Oldini olish bilan yozish uchun kirish tizim kataloglarida Apple dasturi yangilanishi paytida tizim fayli va katalog ruxsatnomalari avtomatik ravishda saqlanib qoladi. Natijada, ruxsatlarni ta'mirlash mavjud emas Disk yordam dasturi[13] va tegishli diskutil operatsiya.

Qabul qilish

Tizimning yaxlitligini himoya qilishni qabul qilish aralashgan. Macworld Apple kelgusi versiyalarida foydalanuvchilarni va ishlab chiquvchilarni to'liq nazoratini olib qo'yishi va macOS xavfsizlik siyosatini asta-sekin Apple-ga o'tishi mumkinligidan xavotir bildirdi. mobil operatsion tizim iOS, shuning uchun ko'plab kommunal va modifikatsiyani o'rnatishni talab qiladi jailbreak.[2][14] Ba'zi ilovalar va drayverlar to'liq hajmda ishlamaydi yoki funktsiya vaqtincha yoki doimiy ravishda o'chirilmasa, umuman ishlamaydi. Ars Technica Bu kichik ishlab chiquvchilarga nomutanosib ta'sir qilishi mumkin, chunki kattaroqlari to'g'ridan-to'g'ri Apple bilan ishlashlari mumkin. Biroq, ular shuningdek, ko'pchilik foydalanuvchilar tomonidan, shu jumladan, ta'kidladilar quvvat foydalanuvchilari, funktsiyani o'chirish uchun sabab bo'lmaydi, chunki uning "salbiy tomonlari deyarli yo'q".[1]

Shuningdek qarang

Adabiyotlar

  1. ^ a b v d Kanningem, Endryu; Xatchinson, Li (2015 yil 29 sentyabr). "OS X 10.11 El Capitan: Ars Technica Review - tizim yaxlitligini himoya qilish". Ars Technica. Olingan 29 sentyabr, 2015.
  2. ^ a b Kanningem, Endryu (2015 yil 17-iyun). "Birinchi qarash: OS X El Capitan Yosemitga ozgina qor qoplini olib keladi". Ars Technica. Olingan 18 iyun, 2015.
  3. ^ Slivka, Erik (2015 yil 12-iyun). "OS X El Capitan ishlashni yaxshilash uchun uchinchi tomon SSD disklarini TRIM qo'llab-quvvatlash uchun eshik ochdi". MakRumors. Olingan 18 iyun, 2015.
  4. ^ a b v d e Martel, Per-Olivye (2015 yil iyun). "Xavfsizlik va sizning ilovalaringiz" (PDF). Apple Developer. 8-54 betlar. Arxivlandi (PDF) asl nusxasidan 2016 yil 23 aprelda. Olingan 30 sentyabr, 2016.
  5. ^ "Tizimning yaxlitligini himoya qilishni sozlash". Mac ishlab chiqaruvchisi kutubxonasi. olma. 2015 yil 16 sentyabr. Arxivlandi asl nusxasidan 2016 yil 17 avgustda. Olingan 30 sentyabr, 2016.
  6. ^ Garfinkel, Simon; Spafford, Gen; Shvarts, Alan (2003). Amaliy UNIX va Internet xavfsizligi. O'Reilly Media. 118-9 betlar. ISBN  9780596003234.
  7. ^ "Mac-ni ishga tushirganda ko'radigan ekranlar to'g'risida". Apple qo'llab-quvvatlashi. 2015 yil 13-avgust. Arxivlandi asl nusxasidan 2016 yil 21 aprelda. Olingan 30 sentyabr, 2016.
  8. ^ "Mac-dagi tizim yaxlitligini himoya qilish to'g'risida". Apple qo'llab-quvvatlashi. 2016 yil 30-may. Arxivlandi asl nusxasidan 2016 yil 20 martda. Olingan 30 sentyabr, 2016.
  9. ^ "OS X-da qanday yangiliklar - OS X El Capitan v10.11". Mac ishlab chiqaruvchisi kutubxonasi. Olma. Arxivlandi asl nusxasidan 2016 yil 4 martda. Olingan 30 sentyabr, 2016. Tizim ikkiliklariga kodni kiritish va ish vaqti qo'shimchalariga endi ruxsat berilmaydi.
  10. ^ "Yadro kengaytmalari". Mac ishlab chiqaruvchisi kutubxonasi. Olma. 2015 yil 16 sentyabr. Arxivlandi asl nusxasidan 2016 yil 17 avgustda. Olingan 29 sentyabr, 2016.
  11. ^ "Yosemitda trim". Sindori. Olingan 18 iyun, 2015.
  12. ^ Uolton, Jefri (2020 yil 28 mart). "Nettle 3.5.1 va OS X 10.12 patch". qichitqi o'tlar (Pochta ro'yxati). Olingan 13 iyul 2020.
  13. ^ "OS X El Capitan Developer Beta 2 versiyasini chiqarishga oid eslatmalar". Mac ishlab chiqaruvchisi kutubxonasi. Olma. 2015 yil 22 iyun. Izohlar va ma'lum masalalar bo'limida. Arxivlandi asl nusxasidan 2015 yil 26 iyunda. Olingan 29 iyun, 2015.
  14. ^ Fleyman, Glenn (2015 yil 15-iyul). "Private I: El Capitan tizimining yaxlitligini himoya qilish kommunal xizmatlarning funktsiyalarini o'zgartiradi". Macworld. Olingan 22 iyul, 2015.

Tashqi havolalar