Actualmente, puedo montar y editar la partición EFI sin ningún privilegio especial. ¿Es eso correcto?
Comprendo que las marcas de inicio para las regiones protegidas de SIP se almacenan en nvram , que es inaccesible mediante bendición, pero parece extraño que pueda manipular el binario, y los cambios persistirán durante un reinicio.
¿Hay algo mal aquí? Si no, ¿por qué es así?
Las particiones EFI están formateadas con un sistema de archivos FAT32. FAT32 no proporciona permisos de archivo POSIX. Quienquiera que acceda a una partición EFI en OS X / macOS tiene la propiedad total de todos los archivos y carpetas (777).
Esto se aplica incluso si cambia de usuario con Cambio rápido de usuario.
Sin embargo, el montaje de la partición EFI requiere privilegios de administrador.