یکی از قابلیت‌های مفید سیستم عامل مک‌او‌اس، SIP است. قابلیتی امنیتی که از برخی فرآیندهای هسته‌ای سیستم عامل حفاظت می‌کند. این روزها اغلب کاربران محصولات اپل مثل MacBook‌ و iMac از نسخه‌های جدید مک‌او‌اس استفاده می‌کنند که SIP در آنها پیاده‌سازی شده است.

اگر با SIP مک‌او‌اس آشنایی ندارید و می‌خواهید اطلاعات بیشتری در این رابطه کسب کنید، سیاره‌ی آی‌تی را همراهی کنید.

آشنایی با System Integrity Protection در مک‌او‌اس

مک‌او‌اس با معرفی قابلیت System Integrity Protection یا به اختصار SIP در نسخه‌ی 10.11 تغییر بزرگی داشته است. این قابلیت در حقیقت برای حفاظت از برخی فایل‌های macOS و فرآیندهای هسته‌ای آن، معرفی شده و اکستنشن‌های جانبی کرنل یا هسته‌ی سیستم عامل را بررسی می‌کند. بنابراین SIP از نصب افزونه یا اکستنشن ناامن جلوگیری کرده و مانع تغییر در فایل‌های اساسی سیستم عامل می‌شود.

زمانی که SIP فعال باشد، نفوذ به برخی بخش‌های سیستم عامل به کلی غیرمجاز است. به همین دلیل نام این ویژگی، حفظ تمامیت سیستم گذاشته شده است. البته می‌توانید با شرکت در برنامه‌ی توسعه‌دهندگان اپل، دسترسی‌هایی داشته باشید و به عنوان مثال نرم‌افزارهای تأییدشده و دارای امضای دیجیتالی را اجرا کرده و برای اموری مثل نصب کردن درایورها استفاده کنید.

قابلیت SIP چیزی نیست که کاربر سیستم عامل مک‌او‌اس، آن را به شکل محسوسی درک کند بلکه در پس‌زمینه عمل می‌کند. در واقع Gatekeeper که قابلیت امنیتی دیگری در مک‌ها است هم از نصب کردن نرم‌افزارهای جانبی تأییدنشده جلوگیری می‌کند اما عملکرد آن برای کاربر محسوس است.

آیا به SIP نیاز داریم؟

با توجه به اینکه تعداد بدافزارها هم مثل نرم‌افزارها رو به افزایش است، اقدامات و لایه‌های امنیتی که SIP یکی از نمونه‌های آن است، در سیستم عامل‌های مدرن امروزی اضافه می‌شوند. شاید چند سال پیش کاربران مک‌او‌اس، ادعای اپل در مورد غیرقابل‌نفوذ بودن macOS را باور می‌کردند اما اکنون مک‌او‌اس یک سیستم عامل کاملاً امن نیست و کاربر نیاز به لایه‌ها و نرم‌افزارهای امنیتی بیشتری دارد.

در سیستم عامل مک در حال حاضر دو ویژگی Gate Keeper و SIP برای حفاظت در برابر بدافزارها وجود دارد و گاهی مواقع هکرها راه‌های نفوذ جدیدی پیدا می‌کنند و از این دو مورد گذر می‌کنند.

اپل به این نکته اشاره کرده که بسیاری از آسیب‌پذیری‌های امنیتی به این دلیل بوده که اغلب کاربران Mac، افرادی هستند که تنها یک حساب کاربری برای استفاده از لپ‌تاپ یا کامپیوتر دارند که آن یک مورد هم دسترسی ادمین دارد و این یک خطر بزرگ است و نصب شدن بدافزارها را ساده‌تر می‌کند. بنابراین اپل با اضافه کردن SIP به دنبال محدودتر کردن حساب Root است تا حتی با دسترسی کامل روت هم بیش از حد آزاد نباشد و خرابکاری بدافزارها را ساده نکند.

البته اضافه شدن لایه‌های امنیتی به این معنی است که آزادی کاربر در دستکاری تنظیمات و حتی ظاهر سیستم عامل و نرم‌افزارها هم محدودتر می‌شود. به هر حال سیستم عامل iOS که در مجموع امنیت بالایی دارد، به دلیل همین محدودیت‌ها امن است و به نظر می‌رسد که اپل راهکار ساده و موثری را انتخاب کرده است.

SIP از چه بخش‌هایی از macOS‌ حفاظت می‌کند؟

اگر SIP‌ یا حفاظت تمامیت سیستم در مک‌او‌اس فعال باشد، تعدادی از فولدرها، پرازش‌ها و اکستنشن‌های هسته، به لحاظ دسترسی محدود و محافظت می‌شوند.

فولدرهای زیر همگی فولدرهای مهم و حساس هستند که SIP‌ از آن محافظت می‌کند.

  • /System
  • /usr
  • /bin
  • /sbin

اغلب فولدرهای فوق در حالت عادی رویت نمی‌شوند و هدف SIP این است که از دسترسی نرم‌افزارهای جانبی به این فولدرهای مهم و حیاتی جلوگیری کند. با محدودیت دسترسی به فولدرهای فوق، قابلیت سفارشی کردن ظاهری macOS محدودتر می‌شود.

از طریق کاربران مک‌او‌اس و نرم‌افزارها می‌توانند به فولدرهای زیر دسترسی داشته باشند:

  • /Applications
  • /Library
  • /usr/local

به علاوه SIP از دخالت در اغلب نرم‌افزارهایی که به صورت پیش‌فرض روی مک‌او‌اس نصب شده، جلوگیری می‌کند. SIP در نصب کردن درایورها هم محدودیت ایجاد می‌کند و به طور کلی نصب کردن اکستنشن‌های کرنل یا هسته‌ی سیستم عامل، محدود می‌شود مگر آنکه با شناسه‌ی توسعه‌دهندگان اپل، ثبت و تأیید شده باشد.

سیستم عامل مک‌او‌اس در صورت وجود افزونه‌های هسته که تأیید نشده باشند، بوت نمی‌شود مگر آنکه SIP غیرفعال شود.

اثر SIP روی عملکرد نرم‌افزارهای مک‌او‌اس

در سال‌های اخیر و پس از معرفی SIP در نسخه‌ی 10.11 مک‌او‌اس، هم کاربران به محدودیت‌های جدید عادت کرده‌اند و هم برنامه‌نویسان به محدودیت در بخش‌های اساسی سیستم عامل عادت کرده‌اند. اغلب توسعه‌دهندگان اپلیکیشن، نرم‌افزارهای خویش را از نو نوشته‌اند تا با محدودیت‌های جدیدی که SIP اضافه کرده، سازگاری داشته باشند.

در حال حاضر هر اپلیکیشنی که قرار است در App Store مک قرار بگیرد، می‌بایست با SIP سازگاری داشته باشد تا اپل آن را تأیید کند. خوشبختانه اغلب اپلیکیشن‌های جانبی نیز به خوبی سازگار شده‌اند. اما هنوز هم مواردی وجود دارد که برای عملکرد صحیح، به غیرفعال کردن SIP نیاز دارد. به عنوان مثال اپلیکیشن Winclone برای عملکرد صحیح، به غیرفعال کردن و پس از تغییرات لازم، فعال کردن مجدد SIP نیاز دارد تا بتواند به عنوان ابزاری برای کپی کردن در Boot Camp عمل کند.

نرم‌افزارهایی که در گذشته برای دستکاری ظاهر اپلیکیشن‌ها استفاده می‌شد، با توجه به نیاز به دستکاری فایل‌های مهم، توسط SIP محدود شده و در حال حاضر عملکرد گذشته را ندارد.

چگونه SIP را در مک‌او‌اس غیرفعال کنیم؟

برای غیرفعال کردن قابلیت امنیتی SIP در مک‌های اپل، می‌بایست سیستم عامل وارد محیط ریکاوری شده و از دستور csrutil استفاده کنید. مراحل کار به این صورت است:

روی منوی اپل کلیک کنید و گزینه‌ی Restart را انتخاب کنید.

کلید ترکیبی Cmd + R را فشار داده و نگه دارید تا مک محیط ریکاوری یا Recovery Mode را بوت کند.

پس از بوت شدن محیط ریکاوری، در بخش Utility اپلیکیشن Terminal‌ را اجرا کنید.

دستور زیر را تایپ کرده و کلید Enter را فشار دهید.

csrutil disable

پس از اجرای دستور فوق، مک را ری‌استارت کنید.

فراموش نکنید که پس از انجام کارهای لازم، مجدداً SIP را فعال کنید. برای فعال کردن می‌توانید مراحل فوق را تکرار کنید و این بار دستور زیر را تایپ کرده و اجرا کنید:

csrutil clear