Tại sao bạn không nên vô hiệu hóa tính năng System Integrity Protection trên Mac?

Mỗi bản phát hành mới của hệ điều hành dành cho máy tính để bàn của Apple dường như đặt ra nhiều hạn chế cho người dùng hơn so với phiên bản trước. System Integration Protection - Bảo vệ tích hợp hệ thống (hoặc SIP) có thể là thay đổi lớn nhất.

Khi được giới thiệu với OS X 10.11 El Capitan, SIP hạn chế về khả năng sửa đổi một số thư mục nhất định đối với người dùng. Trong khi một số người lên án công nghệ bảo mật mới nhất của Apple như một phương tiện để kiểm soát người dùng, thì hóa ra đó lại là lý do chính đáng.

Có rất ít lý do để vô hiệu hóa tính năng này. Hãy cùng tìm hiểu qua bài viết sau đây.

System Integration Protection (SIP) là gì?

SIP là một tính năng bảo mật được thiết kế để bảo vệ các phần dễ bị tấn công nhất trong hệ điều hành. Tóm lại, nó ngăn cản ngay cả một người dùng có quyền truy cập root (bằng lệnh sudo) khỏi việc sửa đổi các vị trí nhất định trên phân vùng chính. Có nghĩa là giữ cho người dùng Mac an toàn, giống như các hạn chế phần mềm trước đó được giới thiệu bởi Gatekeeper.

Đây có thể là một biện pháp ứng phó với số lượng ngày càng tăng của các mối đe dọa từ phần mềm độc hại. Mac hiện giờ là mục tiêu lớn đối với các phần mềm độc hại. Không khó để tìm các phần mềm ransomware, spyware, keylogger hoặc phần mềm quảng cáo cũ đơn giản nhắm vào nền tảng của Apple.

System Integration Protection

SIP bảo vệ một vài khu vực cốt lõi của ổ đĩa nơi hệ điều hành được cài đặt, bao gồm /System, /bin, /sbin, /usr (chứ không phải /usr/local). Một số liên kết tượng trưng từ /etc, /tmp, và /var cũng được bảo vệ, mặc dù các thư mục đích thì không. Các biện pháp an toàn ngăn chặn các quy trình không có đủ đặc quyền (bao gồm cả người dùng quản trị có quyền truy cập root) ghi vào các thư mục này và các file được lưu trữ bên trong.

Công nghệ này cũng ngăn chặn các hoạt động “rủi ro” khác. Apple lo ngại rằng những thay đổi được thực hiện trên những phần này của hệ thống có thể khiến máy Mac của bạn gặp rủi ro và gây thiệt hại cho hệ điều hành. Việc khóa quyền truy cập quản trị viên gốc bảo vệ máy Mac khỏi các lệnh cấp sudo được thực hiện từ xa và cục bộ.

Vậy tại sao người dùng lại muốn vô hiệu hóa tính năng này?

Khi tính năng được giới thiệu lần đầu tiên, một số ứng dụng dựa vào việc sửa đổi các thư mục hoặc file hệ thống được bảo vệ nhất định không còn hoạt động nữa. Theo quy định, đây là những sửa đổi mang tính “xâm nhập”, làm thay đổi cách thức hoạt động của nhiều yếu tố cốt lõi của hệ điều hành và các ứng dụng của bên thứ nhất. Một số công cụ sao lưu và khôi phục nhất định và các ứng dụng được xử lý cụ thể thông qua hoạt động của các thiết bị khác cũng bị ảnh hưởng.

Nếu bạn muốn sử dụng phần mềm phụ thuộc vào việc sửa đổi để hoạt động, bạn sẽ phải tắt SIP trước tiên. Không có cách nào để tạo ngoại lệ cho một ứng dụng nhất định nếu ứng dụng đó thiếu các đặc quyền bắt buộc. Điều này đã dẫn đến suy đoán rằng sự thay đổi sẽ ảnh hưởng đến các nhà phát triển nhỏ hơn, những người thiếu phương tiện làm việc với Apple để đảm bảo phần mềm của họ tiếp tục hoạt động.

Vì sao phải vô hiệu hóa SIP

Mặc dù điều này có thể đúng, nhưng nhiều ứng dụng ban đầu không hoạt động trên El Capitan đã được viết lại để phù hợp với hệ điều hành này. Bartender là một ứng dụng như vậy. Đây là phương tiện để dọn dẹp các biểu tượng trên thanh menu của Mac. Bartender ban đầu chỉ hoạt động với OS X 10.10 trở xuống, trong khi Bartender 2 hoạt động với El Capitan trở lên. Default Folder X, một ứng dụng khác được thiết kế để tăng cường các hộp thoại Open and Save, đã được viết lại hoàn toàn cho El Capitan và các phiên bản sau đó. Bây giờ nó hoạt động khá hoàn hảo.

Không phải tất cả các ứng dụng đều được viết lại hoàn toàn và một số ứng dụng vẫn cần phải vô hiệu hóa SIP để hoạt động. May mắn thay, điều này thường chỉ là tạm thời, như trong trường hợp của Winclone. Giải pháp sao chép và sao lưu Boot Camp này yêu cầu người dùng vô hiệu hóa SIP để ghi vào các khu vực được bảo vệ của ổ đĩa. Tính năng này có thể được bật lại sau đó.

Cần vô hiệu hóa SIP vì một vài lý do

SwitchResX là một ứng dụng khác yêu cầu SIP phải bị vô hiệu hóa. Nó cung cấp khả năng kiểm soát nâng cao trên màn hình ngoài, dựa trên độ phân giải cụ thể được chỉ định trong file được bảo vệ. Khi màn hình đã được cấu hình, người dùng có thể khôi phục SIP cho đến khi họ cần thực hiện một thay đổi khác. Các ứng dụng khác như XtraFinder (và nhiều ứng dụng khác thay đổi giao diện và chức năng của Finder) yêu cầu tính năng này được kích hoạt với cách giải mã sử dụng lệnh csrutil enable --without debug.

Do sự thay đổi này, một số ứng dụng đã ngừng phát triển hoàn toàn. Những ứng dụng khác chỉ vô hiệu hóa SIP tạm thời, sau đó kích hoạt lại. Cái chính ở đây là rất phiền phức khi các ứng dụng khi phải sửa đổi giao diện hoặc hành vi của hệ thống hoặc tính năng tích hợp (như Finder, Spotlight hoặc dock), trước đưa tới tay người tiêu dùng. Phần lớn tìm kiếm nhanh của Google hoặc lướt qua các câu hỏi thường gặp vẫn đủ dùng.

Làm thế nào để vô hiệu hóa SIP?

Nếu bạn quyết định tắt SIP, hãy lưu ý rằng máy Mac của bạn về mặt kỹ thuật cũng an toàn như khi bạn đang chạy OS X 10.10 Mavericks. Bạn vẫn sẽ cần cung cấp quyền truy cập root để ghi vào các khu vực nhất định của ổ đĩa hoặc yêu cầu quyền quản trị. Bạn cũng có thể bật lại SIP dễ dàng nếu bạn quyết định thực hiện việc này sau đó.

Hầu hết người dùng Mac sẽ không bao giờ cần phải vô hiệu hóa SIP. Ngoài ra, bạn nên bật tính năng này trừ khi bạn gặp phải trở ngại. Nếu bạn cần thực hiện thay đổi đối với một thư mục được bảo vệ hoặc sử dụng phần mềm mà không có các đặc quyền, dưới đây là những việc cần làm để vô hiệu hóa SIP:

  1. Khởi động lại máy Mac bằng cách nhấp vào biểu tượng Apple ở trên cùng bên trái và chọn Restart.
  2. Giữ phím Command+R trong khi Mac khởi động để vào Recovery Mode.
  3. Khi máy Mac đã khởi động, hãy đến Utilities và khởi chạy Terminal.
  4. csrutil disable và nhấn Enter.
  5. Khởi động lại máy Mac như bình thường.

Tất cả đã xong! Bạn có thể dễ dàng kích hoạt lại tính năng này bằng cách khởi động lại vào Recovery Mode, khởi chạy Terminal và gõ csrutil clear, sau đó nhấn Enter.

Bạn đã tắt SIP chưa?

Có thể bạn sẵn sàng tận dụng cơ hội và tắt SIP. Có lẽ bạn không muốn Apple ra lệnh cho những gì bạn có thể và không thể thay đổi. Một ứng dụng có thể yêu cầu tắt SIP, hoặc bạn là người thích tinh chỉnh hệ thống. Nếu bạn đã tắt tính năng này, chúng tôi rất muốn biết lý do.

Có rất ít lý do để tắt tính năng này trừ phi thật cần thiết. Hãy nhớ rằng, cài đặt lại macOS có khả năng bật lại tính năng này. Cũng có khả năng Apple sẽ tiếp tục giới thiệu các tính năng bảo mật và kiểm soát quyền với mỗi bản phát hành macOS mới.

Xem thêm:

Thứ Bảy, 19/05/2018 10:28
52 👨 3.465
0 Bình luận
Sắp xếp theo
    ❖ Bảo mật