Questions tagged «sip»

OS X El Capitan的系统完整性保护(“无根”)功能可保护关键文件系统区域免遭root用户修改尝试。

3
El Capitan的“无根”功能到底是什么?
我刚刚了解了El Capitan中的“无根”功能,并且听到了诸如“没有root用户”,“没有任何东西可以修改/System”和“世界将因为我们无法获得根而终结”之类的信息。 El Capitan在技术层面上的“无根”功能是什么?这对用户体验和开发人员体验实际上意味着什么?将sudo -s仍然工作,并且,如果是这样,怎么会用一个shell的经验root改变?
242 macos  el-capitan  unix  root  sip 



4
在没有恢复模式的情况下禁用SIP
在您回答这不可能之前,请先听我说。我有一台运行MacOS Sierra的Mac Pro 4,1(带有5,1固件)。我想禁用系统完整性保护(也称为SIP),但是遇到了障碍。我没有闪烁的图形卡,因此我的计算机上看不到启动屏幕(或恢复模式或安全模式)。因此,我看不到如何在计算机上禁用SIP。我努力了: 将Mac Pro引导到目标磁盘模式,然后通过FireWire将MacBook Air(OS X 10.9-pre-SIP)连接到MP。从Mac Pro的恢复分区启动MBA(MacOS 10.12恢复)。禁用SIP,重新启动。这样做对MBA有帮助。但是当我再次打开Mac Pro时,启用了SIP。因此,我认为SIP禁用已链接到硬件。 问题1:这个假设正确吗? 问题2:是否可以在不使用Mac Pro的图形卡的情况下禁用SIP?我有运行MacOS Sierra的iMac和运行OS X 10.9的MBA。可能的解决方案可以包括(但不限于):ssh,屏幕共享,目标磁盘模式)。 我将不胜感激任何帮助。请发表问题作为评论,并随时提出修改建议。谢谢!
12 macos  recovery  mac-pro  gpu  sip 

6
csrutil:找不到命令
我正在使用2012年中的MacBook,最近将其升级到了OS X 10.11 El Capitan。我在使用新的SIP功能时遇到麻烦,想禁用它。 我尝试使用Cmd + R引导进入OS X Internet Recovery,后者启动了Internet Recovery。当我csrutil disable在Terminal中尝试时,它返回了-bash: csrutil: command not found。然后,我尝试启动到Recovery HD,并在恢复模式下尝试了相同的命令以获取相同的错误。 我的问题是如何访问csrutil命令以禁用SIP?我想念什么吗? 更新 我将在以下屏幕截图中尝试使用的恢复终端命令。请放大以查看清楚

1
测试系统完整性保护SIP的方法(不是关于如何启用/禁用)?
当我第一次开始使用10.11 El Capitan时,我必须禁用SIP才能运行某些程序并避免崩溃。崩溃很可能是由于我从较旧的软件安装中遗留下来的一些kext等造成的。不确定。 有没有办法使SIP进行测试,以查看我是否在不允许保护机器的保护区域中安装了不允许的辅助设备或其他物品?我真的不想经历大量的引导迭代过程,希望找到挂起或崩溃机器的东西。 换句话说,这与如何启用或禁用SIP无关,而与如何编程或自动化测试以确定SIP的状态有关。
11 macos  el-capitan  sip 


1
El Capitan,进行检查,DYLD_LIBRARY_PATH
我使用通常的Unix工具集开发应用程序:编译器make,和共享库。传统上,该过程类似于 ./configure,可以针对运行机器的功能量身定制源代码, make,实际上会编译共享库,可执行文件等, make check,它会在我们安装软件包之前运行测试, make install,如果程序包运行正常,最后(可选) make installcheck,以确保安装正常。 在期间make,共享库和可执行文件以最终形式进行编译:可执行文件在最终目标位置依赖于共享库进行编译(即,它们依赖于库,/usr/local/lib尽管它们尚不存在,但仍在构建中)树)。然后make install,大致来说,它只是cp用于从构建树到最终位置安装库和可执行文件。 在此make check阶段中,我们正在运行已卸载的程序:共享库,可执行文件和辅助文件仍在构建树中。要运行测试,您必须设置一些自定义环境变量(例如,告诉您的程序辅助数据文件不在/usr/local/share源树中,而是在源树中),以及一些系统环境变量,以告诉您的共享库加载器看起来共享库。传统Unices上的环境变量是LD_LIBRARY_PATHOS X上的DYLD_LIBRARY_PATH。这已经工作了几十年了。 但是现在,El Capitan打破了这一点。 $ (export FOO=foo; env) | grep foo FOO=foo $ (export DYLDFOO=foo; env) | grep foo DYLDFOO=foo $ (export DYLD_FOO=foo; env) | grep foo $ 现在,启用SIP后,no不会DYLD_*从进程导出到其子进程。 所以我的问题是:我们如何运行未安装的程序?能够运行传统的Unix序列应遵循的程序是什么./configure && make && make check? 请,没有诸如“ make install先运行”之类的答案。那不是重点。我是一名开发人员,因此我经常执行“ …

0
为什么我的`rootless.conf`并不总是会影响SIP对哪些文件进行'restricted'标志处理的选择?
有什么消息说 像其他所有人一样,我的/System/Library/Sandbox/rootless.conf文件包含以下条目: $ cat /System/Library/Sandbox/rootless.conf […] /System […] * /System/Library/Extensions /System/Library/Extensions/* […] 我发现的有关该主题的 所有资料(示例1 2 3)似乎都建议根据的规则rootless.conf,这些条目将在引导时强制执行,并且可以大致解释如下: 在/System层次结构内部,除非有更具体的规则授予此类访问权限,否则不允许任何进程写入任何文件或文件夹。 在内部/System/Library/Extensions,任何具有root特权的进程都可以创建新文件和子文件夹; 但是,没有进程被允许修改或删除任何现有的文件或子文件夹内/System/Library/Extensions。 我实际上观察到的 但是,当我查看的实际内容时/System/Library/Extensions,我惊讶地发现了几个文件和文件夹,尽管SIP处于活动状态,但它们是可完美写入和删除的: $ csrutil status System Integrity Protection status: enabled. $ ls -lAO /System/Library/Extensions | tail -16 drwxr-xr-x@ 3 root wheel restricted 102 20 Apr 2016 corecrypto.kext drwxr-xr-x@ 3 root wheel …


0
为什么SIP禁止我在受保护的文件夹之外的可执行文件上使用`dtruss`?
我正在OS X El Capitan(10.11.4)上运行以下命令: sudo dtruss /usr/local/bin/mix phoenix.server 它失败,说: dtrace:无法执行/ usr / local / bin / mix:dtrace无法控制以受限权利签名的可执行文件 mix是我随Homebrew安装的可执行文件。/usr/local/bin/mix实际上是一个符号链接,但它指向嵌套在下的文件/usr/local/Cellar。 关于SIP的官方声明说,/usr/local它对于安装人员是可写的(与/usr/一般情况不同)。它没有说SIP是否允许在此跟踪程序,但是鉴于我自己安装了该程序,因此能够跟踪它似乎是合理的。 我可以做些什么来允许跟踪此程序吗?我的想法: 完全禁用SIP(似乎很用力) 更新:我读到可以选择性地禁用SIP的一部分,但是作为第一步,我完全禁用了它。csrutil status现在报告System Integrity Protection status: disabled.。但是我的原始命令仍然失败,并显示相同的错误。:( 使Homebrew将所有内容安装到下面的文件夹中~(似乎很杂乱) 更新:肯定这将是一个坏主意 忽略Homebrew并mix从源代码编译为~,然后将新的可执行文件压缩 更新:同样的失败。这对我来说真的没有任何意义。SIP已关闭,因为我自己编译了该可执行文件,所以未对其进行“签名”,并且该文件不在受限制的位置。:P 在VM中安装Linux。(严重吗?我必须这样做吗?)
5 sip  dtrace 

2
在High Sierra登出访客帐户后,带有光标的黑屏
当我退出我的访客帐户时,它会被黑屏和光标卡住,我可以四处移动但除了强行重启之外无法做任何事情。在我的搜索中,我看到了一个 老推荐 删除 /Library/Preferences/com.apple.loginwindow.plist 文件(对我来说不起作用)。我也见过那个人 禁用系统完整性保护 同 csrutil disable。 重启后我查看了控制台,看到以下行: Apr 24 12:45:55 my-computer com.apple.xpc.launchd[1] (com.apple.xpc.launchd.user.domain.201.100028.Aqua): Caller not allowed to perform action: loginwindow.1627, action = service removal, code = 150: Operation not permitted while System Integrity Protection is engaged, uid = 0, euid = 201, gid = 201, egid = …

0
在capitan中自定义系统launchagent参数
有什么方法可以解决无法完全禁用系统完整性保护的情况下,在El Capitan中自定义启动代理程序插件吗? 具体来说,我悲哀地发现,我的ssh-agent超时已被拆掉,并震惊,我无法把它放回去。我看到了其他有关如何在恢复模式下重新启动并禁用SIP的问题,但这似乎有点荒唐……还有其他解决方法吗? 我对整个launchctl并不了解,-t除了编辑之外,还有其他方法可以设置选项/System/Library/LaunchAgents/org.openbsd.ssh-agent.plist吗? 我可以禁用系统配置的代理并将其设置为~/Library/LaunchAgents吗?与系统代理相比,会失去任何功能吗?

1
在El Capitan中运行opensnoop时出现dtrace错误[重复]
这个问题在这里已有答案: 既然El Capitan是“无根”的,有没有办法让dtrace工作? 2个答案 为了诊断慢速终端交互(结果是一个无关的问题),我跑了sudo opensnoop,看到这样的输出:dtrace错误 我认为这与El Capitan的SIP有关。有什么值得担心的吗?我如何深入挖掘以了解探测ID对应的内容以及导致错误的进程?动作是什么#?

2
如何删除我的本地Backupdb.backupsdb?
在我的MBP视网膜(2014,10.11.3)上的本地硬盘驱动器上,有一个Backupdb.backupsdb文件夹: drwxr-xr-x+ 5 root wheel 170B 2 Jan 03:32 Backups.backupdb/ 我以为文件夹仅存在于timemachine上?但是,我要删除它,因为它仅包含旧的未完成备份: drwxr-xr-x@ 5 root wheel 170B 20 Mär 14:06 2016-01-02-020746.inProgress/ 我禁用了SIP,但既不工作rm -rf也sudo rm -rf不起作用,即使在恢复模式下也是如此。我总是Operation not permitted。 有人知道如何删除吗?

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.