Новини
Спінінг у руках майстра: тонкощі вибору та техніки успішної риболовлі
Підготовка до подорожі: ключові товари для комфортного туризму
Як обрати надійного хостинг-провайдера: покрокова інструкція
Отримання посвідки на проживання в Україні: юридичні нюанси та послуги компанії "Правова Допомога"
Голливудский блеск: американская косметика на службе у знаменитостей
Надійне світло в непередбачуваних ситуаціях: акумуляторні світильники для вашого дому
Lexus в сервисе: как избежать неприятных сюрпризов при ремонте
Разумная покупка: секреты выбора оптимального бензинового генератора
Чехлы для iPhone X: защита и стиль от Custom Studio
Обмін Perfect Money (USD) на гривні (UAH) із зарахуванням на картки Visa і MasterCard
Салат з оселедця
«Клюківка» наливка журавлинна

Rootless: як захищена OS X El Capitan

Будівництво

Що б не говорили недоброзичливці, а iOS залишається однією з найбільш захищених користувальницьких систем у світі. З метою розв'язати собі руки ентузіасти виконують спеціальну процедуру - jailbreak, яка дозволяє модифікувати системні файли. «Старша сестра» iOS, комп'ютерна OS X, донедавна залишалася відносно вільною в цьому плані, але схоже, настав час все змінити.

Безпека Mac завжди перебувала на високому рівні. Тому сприяла, серед усього іншого, невелика відносно Windows частка системи на світовому ринку, що злі язики заносять у недоліки, а задоволені користувачі - в серйозні переваги. У версії 10.7.5 з'явився новий компонент Gatekeeper. Його завдання полягає в захисті комп'ютера від програм, отриманих із сумнівних джерел або не мають цифрового підпису Apple. Проте з точки зору різних модифікацій система не особливо обмежувала користувача (зрозуміло, в розумних межах, кастомізація OS X завжди була кілька вже); існує безліч утиліт, які дозволяють налаштувати її за своїм смаком.


Зрім у корінь

Однак «зловреди» для Mac є, і, незважаючи на невелику кількість, залишати їх без уваги не можна. З приходом El Capitan розробники вводять поняття System Integrity Protection (для короткості назвемо його SIP). Про нову функцію було згадано на конференції WWDC 2015 в червні цього року, і за допомогою неї OS X захищає свої файли від зміни або видалення. Таким чином, навіть якщо на комп'ютер проникне якесь шкідливе ПЗ, порушити роботу системи йому буде вкрай складно. Зворотною стороною нововведення є потенційне блокування всіляких «твіків», до яких звикли багато користувачів, і Apple (поки що) дозволяє відключення функції. Втім, при наявності подібних утиліт не зайвим буде перевірити їх документацію перед оновленням до El Capitan. Отже, як же працює SIP?

Разом зі звичайними обліковими записами, користувачі яких мають обмежений доступ, у * nix-подібних системах існує поняття «root». Такий обліковий запис дозволяє робити з системою практично що завгодно, і саме за це * nix і люблять ентузіасти. OS X є переважно користувальницькою системою, не розрахованою на препарування в «домашніх умовах», однак і в ній присутня така можливість. Наприклад, діалогові вікна з пропозицією ввести пароль адміністратора для підтвердження тієї чи іншої дії з'являються перед внесенням змін у системні файли і теки, а також програми та фонові процеси. Як це не парадоксально звучить, SIP покликана позбавити OS X цієї особливості, зробивши її «rootless».


Фактично, root-доступ до OS X надається будь-якому користувачеві з правами адміністратора. У процесі початкового налаштування потрібно створити адміністраторський запис, щоб мати можливість реєструвати інших користувачів, змінювати установки безпеки тощо. Такий стан справ робить систему потенційно вразливою як для локального, так і віддаленого злому. Наприклад, зловмисник може запустити на самому комп'ютері програму, що використовує root-доступ, а мережевий хакер - скористатися для цього будь-якою вразливістю. Деякі «зловреди» працюють і більш хитро: користувачеві демонструється, що ПЗ безпечно, і він добровільно вводить свій пароль. Все це може бути малоймовірним для домашньої машини, але серйозним приводом для занепокоєння в корпоративному секторі, на який останнім часом націлилася Apple.

Без рук

Сам принцип роботи SIP досить простий - ні користувачі, ні програми або процеси не зможуть записувати або змінювати файли в каталогах/bin ,/sbin і/usr, які приховані за замовчуванням. При встановленні El Capitan просто вилучить з цих тек весь сторонній вміст, зробивши своєрідне «очищення» системи. Єдині компоненти, у яких буде доступ до вищевказаних директорій, - вбудований установник OS X і служба оновлення ПЗ. У зв'язку із загальними змінами відбулися і приватні: зі зрозумілих причин Дискова утиліта тепер не пропонує відновлення прав доступу до диска. Ця функція буде спрацьовувати автоматично при оновленні або встановленні програм, в інших же випадках права просто не будуть порушені. До речі, деякі фахівці вважають, що вже в попередніх версіях OS X відновлення прав було сутньою формальністю, хоча колись було важливим інструментом налагодження системи.

Декілька тек повноважень SIP не обмежуються; під її пильний погляд потраплять стандартні компоненти OS X на зразок Finder або Dock, а також все, що запускається з захищених папок. Наприклад, клієнт Dropbox додавав спеціальний значок для синхронізованого вмісту (що колись зацікавило самого Стіва Джобса), але в OS X Yosemite Apple вирішила проблему самостійно. Зрозуміло, ніхто не збирається скасовувати розширення ядра (* .kext), проте авторам потрібно буде оснащувати їх цифровим підписом і отримувати спеціальні сертифікати.


В принципі, більшості користувачів навряд чи завадять зміни, а якщо користуватися тільки програмами з App Store (знаю, звучить наївно), то їх можна і зовсім не помітити. А ось якщо вам конче потрібне глибоке налаштування системи, питання можуть виникнути вже зараз. Розробники деяких додатків вже занепокоїлися нововведенням - наприклад, інструмент для створення резервних копій SuperDuper не працює з включеною System Integrity Protection. Така ж ситуація спостерігається з Default Folder і Total Finder/Spaces. Ймовірно, список на цьому не закінчується.



Досвідченому користувачеві, до речі, не складе труднощів відключити SIP. Для цього потрібно завантажити ОС в режимі відновлення, затиснувши клавіші [cmd] + [R] при включенні комп'ютера, і в меню «Утиліти» вибрати «Параметри безпеки». У вікні, що з'явиться, слід зняти позначку з параметра «Увімкнути System Integrity Protection», після чого завантажити систему в звичайному режимі. На жаль, розробники повідомляють, що деякі функції їх продуктів все одно не будуть працювати (поки). Програмісти також переживають, що опція зникне з виходом фінальної версії ОС; втім, це малоймовірно, адже необхідність у повному доступі може виникнути в будь-який момент.

Підводячи підсумки слід сказати, що Apple не стала просто копіювати iOS і обгороджувати Mac з усіх боків. Замість цього компанія обережно позбувається найбільш проблемних моментів, як і раніше не позбавляючи користувача свободи вибору ПЗ. Пам'ятається, ще за часів OS X Lion висловлювалися побоювання з приводу Gatekeeper, тоді функція представлялася вісником кінця вільної установки додатків. Однак минуло вже чотири роки, а обмежувати юзерів Mac App Store так ніхто і не став. SIP ще більше дистанціює OS X від Windows, в якій навіть нешкідливі програми нерідко захаращують системні файли. Сподіваємося, до моменту випуску El Capitan нововведення буде логічно завершеним, а розробникам будуть надані інструменти для вирішення проблем. Адже як не крути, а цифрова безпека в сучасному світі грає першу скрипку.

Редакція AppleInsider.ru не несе відповідальності за можливі наслідки відключення системних функцій OS X, а також використання сторонніх програм.

COM_SPPAGEBUILDER_NO_ITEMS_FOUND