Come disabilitare System Integrity Protection (senza radici) in Mac OS X

Apple ha attivato una nuova funzionalità orientata alla sicurezza di default chiamata System Integrity Protection, spesso chiamata rootless, in Mac OS dalle versioni 10.11 in poi. La funzionalità rootless è finalizzata a impedire che Mac OS X possa compromettere il codice malevolo, intenzionalmente o accidentalmente, e in sostanza ciò che il SIP fa è bloccare specifici percorsi a livello di sistema nel file system impedendo contemporaneamente che determinati processi si colleghino ai processi a livello di sistema.

Mentre la funzionalità di sicurezza di System Integrity Protection è efficace e la stragrande maggioranza degli utenti Mac dovrebbe lasciare abilitato rootless, alcuni utenti Mac avanzati potrebbero trovarsi privi di root per essere eccessivamente protettivi. Pertanto, se ti trovi nel gruppo di utenti Mac avanzati che non desiderano abilitare i rootless SIP nell'installazione di OS X, ti mostreremo come disattivare questa funzione di sicurezza.


Per chi si chiede, System Integrity Protection blocca le seguenti directory di livello di sistema in Mac OS X:

/System
/sbin
/usr (with the exception of /usr/local subdirectory)

Di conseguenza, rootless può far sì che alcune app, utility e script non funzionino affatto, anche con sudo privelege, utente root abilitato o accesso amministratore.

Disattivazione della protezione dell'integrità del sistema senza root in Mac OS X

Ancora una volta, la stragrande maggioranza degli utenti Mac non dovrebbe disabilitare rootless. La disabilitazione di rootless è rivolta esclusivamente agli utenti Mac avanzati. Fallo a proprio rischio, questo non è specificamente raccomandato.

  1. Riavvia il Mac e tieni premuti i tasti Command + R contemporaneamente dopo aver sentito il suono di avvio, questo farà avviare OS X in modalità di ripristino
  2. Quando viene visualizzata la schermata "OS X Utilities", trascina invece il menu "Utilità" nella parte superiore dello schermo e scegli "Terminale"
  3. Digitare il seguente comando nel terminale, quindi premere Invio:
  4. csrutil disable; reboot

  5. Verrà visualizzato un messaggio che informa che la protezione dell'integrità del sistema è stata disabilitata e che il Mac deve essere riavviato affinché le modifiche abbiano effetto e il Mac si riavvierà automaticamente, lasciandolo avviare normalmente

Puoi anche eseguire il comando da solo senza il riavvio automatico in questo modo:

csrutil disable

A proposito, se sei interessato a disabilitare rootless, puoi anche disabilitare Gatekeeper mentre sei nella riga di comando.

Se hai intenzione di fare qualcos'altro nella schermata Terminal o OS X Utilities potresti voler terminare il comando di riavvio automatico alla fine, e sì, nel caso ti stavi chiedendo, questa è la stessa modalità di ripristino utilizzata per reinstallare OS X con Internet Recovery.

Una volta riavviato il Mac, System Integrity Protection sarà completamente disattivato in Mac OS X.

Verifica dello stato di Rootless / System Integrity Protection in Mac OS X

Se si desidera conoscere lo stato di rootless prima di riavviare o senza riavviare il Mac in modalità di ripristino, è sufficiente immettere il seguente comando nel terminale:

csrutil status

Vedrai uno dei due messaggi, abilitato indi:

$ stato di csrutil
Stato protezione integrità sistema: abilitato.

o

$ stato di csrutil
Stato protezione integrità sistema: disabilitato

Se in qualsiasi momento si desidera modificare lo stato di rootless, è necessario un altro riavvio in modalità di ripristino.

Come riattivare la protezione dell'integrità del sistema senza root in Mac OS X.

È sufficiente riavviare nuovamente il Mac in modalità di ripristino come indicato sopra, ma nella riga di comando utilizzare invece la seguente sintassi:

csrutil enable

Proprio come prima, è necessario riavviare il Mac per rendere effettive le modifiche.

Come affermato in precedenza, la stragrande maggioranza degli utenti Mac dovrebbe lasciare abilitati i rootless e adottare System Integrity Protection, in quanto la maggior parte degli utenti Mac OS X non ha attività commerciali nelle directory di livello di sistema. La regolazione di questa funzione è rivolta principalmente agli utenti Mac esperti, IT, amministratori di sistema, amministratori di rete, sviluppatori, installatori, operazioni di sicurezza e altri campi altamente tecnici correlati.