Fünf Pfade betroffen
macOS Systemintegritätsschutz: Auf Verzeichnis /var ausgeweitet
Apple hat seine mit OS X El Capitan eingeführte Sicherheitsvorrichtung, den sogenannten Systemintegritätsschutz (SIP) ausgeweitet und die Verzeichnisse, die weder von Drittanbieter-Apps noch von Administratoren manipuliert werden dürfen um einen fünften Pfad ergänzt.
So gilt der Systemintegritätsschutz nun auch für den Verzeichnis-Pfad /var und schützt damit die folgenden Teile des Systems:
- /System
- /usr
- /bin
- /sbin
- /var
Systemintegritätsschutz deaktivieren
Die strengeren Sicherheitsvorkehrungen machen nicht nur den Anbietern von Schadsoftware das Leben schwer, sondern schränken auch Administratoren mit root-Rechten in ihrer Bewegungsfreiheit ein. Für Eingriffe im /var-Verzeichnis müssen diese fortan den Systemintegritätsschutz deaktivieren. Ein Eingriff, der einen Neustart und den Abstecher in das Terminal voraussetzt.
Anwender müssen ihren Mac in den Recovery-Modus starten (Command+R beim Neustart gedrückt halten) und anschließend das Kommando „csrutil disable“ im Terminal absetzen. Aktivieren lässt sich der Schutz über den Befehl „csrutil enable“.
Guter Ansatz! Allerdings sollte er noch mit einer zusätzlichen Identifizierung abgesichert werden!
/var war doch immer schon von SIP betroffen.
Deswegen hat ja chrome nicht auf allen Rechnern /var zerschossen.
Und wie oft muss der Admin ins „var“-Verzeichnis ? Nur damit man die Auswirkung versteht…
Wofür ist das VAR-Verzeichnis?
Mir fallen sofort ein
– /var/log (System und Service Logs)
– /var/spool (Druckerqueue)
– /var/www (Webseiten, Basis)
/var/tmp Ich glaube da gibt es aber eine API für:
let url = URL(fileURLWithPath: NSTemporaryDirectory()).appendingPathComponent(UUID().uuidString)
try createDirectory(at: url, withIntermediateDirectories: true, attributes: nil)
usw.
Hier die Liste mit den Ausnahmen, der Parameter in der linken Spalte beschreibt den User, für den diese Ausnahme gilt (* steht für alle User):
/System/Library/Sandbox/rootless.conf