ifun.de — Apple News seit 2001. 39 479 Artikel

Fünf Pfade betroffen

macOS Systemintegritätsschutz: Auf Verzeichnis /var ausgeweitet

Artikel auf Mastodon teilen.
7 Kommentare 7

Apple hat seine mit OS X El Capitan eingeführte Sicherheitsvorrichtung, den sogenannten Systemintegritätsschutz (SIP) ausgeweitet und die Verzeichnisse, die weder von Drittanbieter-Apps noch von Administratoren manipuliert werden dürfen um einen fünften Pfad ergänzt.

Elcapitan System Integration Protection Hero

So gilt der Systemintegritätsschutz nun auch für den Verzeichnis-Pfad /var und schützt damit die folgenden Teile des Systems:

  • /System
  • /usr
  • /bin
  • /sbin
  • /var

Systemintegritätsschutz deaktivieren

 

Die strengeren Sicherheitsvorkehrungen machen nicht nur den Anbietern von Schadsoftware das Leben schwer, sondern schränken auch Administratoren mit root-Rechten in ihrer Bewegungsfreiheit ein. Für Eingriffe im /var-Verzeichnis müssen diese fortan den Systemintegritätsschutz deaktivieren. Ein Eingriff, der einen Neustart und den Abstecher in das Terminal voraussetzt.

Anwender müssen ihren Mac in den Recovery-Modus starten (Command+R beim Neustart gedrückt halten) und anschließend das Kommando „csrutil disable“ im Terminal absetzen. Aktivieren lässt sich der Schutz über den Befehl „csrutil enable“.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
30. Sep 2019 um 09:18 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    7 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Guter Ansatz! Allerdings sollte er noch mit einer zusätzlichen Identifizierung abgesichert werden!

  • /var war doch immer schon von SIP betroffen.
    Deswegen hat ja chrome nicht auf allen Rechnern /var zerschossen.

  • Und wie oft muss der Admin ins „var“-Verzeichnis ? Nur damit man die Auswirkung versteht…

  • Mir fallen sofort ein
    – /var/log (System und Service Logs)
    – /var/spool (Druckerqueue)
    – /var/www (Webseiten, Basis)

    • /var/tmp Ich glaube da gibt es aber eine API für:

      let url = URL(fileURLWithPath: NSTemporaryDirectory()).appendingPathComponent(UUID().uuidString)

      try createDirectory(at: url, withIntermediateDirectories: true, attributes: nil)
      usw.

  • Hier die Liste mit den Ausnahmen, der Parameter in der linken Spalte beschreibt den User, für den diese Ausnahme gilt (* steht für alle User):

    /System/Library/Sandbox/rootless.conf

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39479 Artikel in den vergangenen 8461 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven