macOS Configuración de la protección de integridad del sistema

Navega tus respuestas
3

Estaba buscando bloquear la configuración en algunos macs y quería saber si hay alguna forma de cambiar los archivos y carpetas que protege SIP. Sé que se puede desactivar y ver sus reglas actuales, pero ¿hay alguna forma de agregar sus propios directorios protegidos?

Gracias

    
pregunta Eugene Wolffe 07.02.2017 - 05:36

2 respuestas

2

Es posible agregar su propio directorio protegido a SIP:

  • Inicia el modo de recuperación y deshabilita SIP
  • Reinicia y crea una estructura de directorios.

  • Marcar toda la carpeta o archivos individuales o carpetas: 

    sudo chflags restricted /example
sudo chflags restricted /example/example.app
sudo chflags restricted /example/subdir/file

    o una jerarquía de carpetas: 

    sudo chflags -R restricted /example

    Si desea excluir un subdir después de usar la opción -R, debe eliminar el indicador restringido allí: 

    sudo chflags norestricted /example/subdir
  • Inicia el modo de recuperación y habilita SIP

Ahora las carpetas ejemplo , example.app y el archivo / example / subdir / file están protegidos. Aún puede agregar o eliminar archivos desde / desde / example / subdir .

El indicador restringido no tiene efecto si SIP está deshabilitado; se aplican los permisos habituales de POSIX / ACL. Con SIP habilitado, los archivos / carpetas están protegidos.

También es posible agregar, eliminar o cambiar archivos y directorios protegidos por SIP a través de un paquete de instalación firmado por la autoridad de certificación de Apple. Como un usuario / cliente normal generalmente no tiene acceso a esta autoridad de certificación, esta posibilidad se elimina.

Una versión anterior de esta respuesta afirmó que es necesario modificar el archivo /System/Library/Sandbox/rootless.conf y agregar algo como: 

                                /example
                                /example/example.app
*                               /example/subdir
                                /example/subdir/file

¡Esto está mal! Simplemente marcar un archivo o carpeta como restringido es suficiente para protegerlo.

    
respondido por el klanomath 07.02.2017 - 16:40
1

Por lo que sé, no hay forma de modificar qué directorios protege SIP; SIP es activado o desactivado . Apple aparece para hacer ninguna mención a tal capacidad en sus documentos de desarrollador tampoco.

Ignora esto, @kanomath tiene una mejor respuesta. La última parte de mi respuesta todavía es limitada.

Si desea bloquear los archivos de configuración, modifique los permisos del sistema de archivos a través de la GUI del Finder o la utilidad de línea de comandos chown .

    
respondido por el JMY1000 07.02.2017 - 10:07

Lea otras preguntas en las etiquetas

¿Puedo instalar Mac OSX Sierra en una unidad USB? ¿Puedo usar el Asistente de Migración para migrar ciertos datos de diferentes fuentes?