ifun.de — Apple News seit 2001. 26 688 Artikel
Fünf Pfade betroffen

macOS Systemintegritätsschutz: Auf Verzeichnis /var ausgeweitet

7 Kommentare 7

Apple hat seine mit OS X El Capitan eingeführte Sicherheitsvorrichtung, den sogenannten Systemintegritätsschutz (SIP) ausgeweitet und die Verzeichnisse, die weder von Drittanbieter-Apps noch von Administratoren manipuliert werden dürfen um einen fünften Pfad ergänzt.

Elcapitan System Integration Protection Hero

So gilt der Systemintegritätsschutz nun auch für den Verzeichnis-Pfad /var und schützt damit die folgenden Teile des Systems:

  • /System
  • /usr
  • /bin
  • /sbin
  • /var

Die strengeren Sicherheitsvorkehrungen machen nicht nur den Anbietern von Schadsoftware das Leben schwer, sondern schränken auch Administratoren mit root-Rechten in ihrer Bewegungsfreiheit ein. Für Eingriffe im /var-Verzeichnis müssen diese fortan den Systemintegritätsschutz deaktivieren. Ein Eingriff, der einen Neustart und den Abstecher in das Terminal voraussetzt.

Anwender müssen ihren Mac in den Recovery-Modus starten (Command+R beim Neustart gedrückt halten) und anschließend das Kommando „csrutil disable“ im Terminal absetzen. Aktivieren lässt sich der Schutz über den Befehl „csrutil enable“.

Montag, 30. Sep 2019, 9:18 Uhr — Nicolas
7 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Guter Ansatz! Allerdings sollte er noch mit einer zusätzlichen Identifizierung abgesichert werden!

  • /var war doch immer schon von SIP betroffen.
    Deswegen hat ja chrome nicht auf allen Rechnern /var zerschossen.

  • Und wie oft muss der Admin ins „var“-Verzeichnis ? Nur damit man die Auswirkung versteht…

  • Mir fallen sofort ein
    – /var/log (System und Service Logs)
    – /var/spool (Druckerqueue)
    – /var/www (Webseiten, Basis)

    • /var/tmp Ich glaube da gibt es aber eine API für:

      let url = URL(fileURLWithPath: NSTemporaryDirectory()).appendingPathComponent(UUID().uuidString)

      try createDirectory(at: url, withIntermediateDirectories: true, attributes: nil)
      usw.

  • Hier die Liste mit den Ausnahmen, der Parameter in der linken Spalte beschreibt den User, für den diese Ausnahme gilt (* steht für alle User):

    /System/Library/Sandbox/rootless.conf

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 26688 Artikel in den vergangenen 6568 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2019 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven