SIP: hệ thống bảo mật ngăn chặn chạy quyền root trên macOS
Kể từ phiên bản macOS 10.11 El Captain, Apple đã có những sự thay đổi đáng kể, một trong số đó là sự ra đời của SIP ( System Integrity Protection). Đây là một biện pháp bảo mật có ảnh hưởng lớn tới hệ điều hành này khi nó nó ra đời vào năm 2015.
Tới ngày hôm nay, hẳn anh em đã dần quen với sự có mặt của nó, nhưng anh em có thể vẫn tự hỏi rằng, SIP là gì, và nó có vai trò như thế nào ?
[the_ad id=”2068″]
SIP là gì ?
Nói một cách đơn giản, SIP là một hình thức bảo mật, được Apple cho ra đời nhằm mục đích bảo vệ và ngăn chặn việc sửa đổi, cài đặt các ứng dụng cũng như các tiện ích mở rộng không an toàn.
Khi anh em bật nó lên, chỉ những phần mềm đã được chính Apple kiểm định và cho phép lưu hành mới được cài đặt lên hệ điều hành macOS và ngay cả khi anh em đã có quyền root trong tay, anh em cũng sẽ không được quyền làm một số việc nhất định, ví dụ như ghi / xóa vào các file hoặc folder gốc của hệ thống, hay can thiệp vào các tiến trình (process) quan trọng.
Tại sao SIP lại cần thiết ?
Cơ chế của SIP là bảo vệ máy của anh em khỏi những can thiệp không cần thiết. Đó là một tính năng bảo mật xuất hiện khi người dùng Macbook đối mặt với mối đe dọa phần mềm độc hại ngày càng tăng của macOS.
Có nhiều anh em cho rằng, macOS không có malware, virus, nhưng thực tế là có. Những đoạn mã javascipts dạng “ransomeware” được tạo ra và phát tán qua những phần mềm độc hại, có thể can thiệp và đánh cắp thông tin và tài khoản root (tài khoản có quyền cao nhất của máy). SIP sẽ chống lại những mối đe dọa này. Đây thực sự là một vấn đề đối với Mac, điển hình là các plug-in java và Adobe Flash.
Apple cho biết hầu hết các vấn đề, mối đe dọa trên macOS thường đến từ các máy tính chỉ sử dụng một tài khoản có quyền admin và điều này, vô tình cho phép phê duyệt việc cài đặt của các phần mềm độc hại.
Bằng việc giới hạn quyền của user có quyền admin, Apple đã xây dựng nên một rào cản giữa bạn và những thành phần cốt lõi (nhạy cảm) nhất trong hệ thống của bạn. Mặt khác, anh em sẽ không còn quyền kiểm soát máy tính của mình một cách hoàn toàn. Việc thắt chặt này của Apple khiến khá nhiều người dùng cảm thấy khó chịu, và họ có cảm tưởng như đây là một iOS của máy tính vậy.
SIP sẽ bảo vệ những gì?
SIP sẽ ảnh hưởng tới những thư mục, tiến trình và các ứng dụng mở rộng, điều đó có nghĩa là, anh em sẽ không thể thực hiện những thay đổi đối với các thư mục sau:
/System
/usr
/bin
/sbin
[the_ad id=”2068″]
Đây là những thư mục xương sống của macOS, và nó đã được SIP ẩn đi khiến cho các chương trình bên ngoài ko thể thay đổi hoặc can thiệp vào chúng. Và nó cũng bao hàm luôn việc anh em sẽ không thể thay đổi, tùy biến nhiều trên macOS.
Tuy nhiên, người dùng vẫn có thể thực hiện việc thay đổi với các thư mục còn lại như
/Applications
/Library
/usr/local
Ngoài ra, các ứng dụng liên quan tới hệ thống như driver đều bắt buộc phải được đăng kí và kiểm duyệt bởi Apple, nếu không, Macbook của bạn sẽ không thể khởi động nếu như máy có những chương trình đó.
SIP ảnh hưởng đến hoạt động của phần mềm Mac như thế nào?
Sau vài năm kể từ lúc SIP được chính thức giới thiệu, các lập trình viên cũng như người điều chỉnh để khóa các thành phần hệ thống. Nhiều lập trình viên cũng đã phải viết lại ứng dụng của mình từ đầu đề tương thích với SIP.
Tất cả các ứng dụng trong AppStore đều phải tương thích với SIP để được sự chấp nhận của Apple. Phần lớn các ứng dụng của bên thứ ba cũng hoạt động tốt. Có một vài ngoại lệ như Winclone, mà vẫn yêu cầu vô hiệu hóa (và sau đó kích hoạt lại) SIP để thực hiện chức năng của nó.
Làm cách nào để disable SIP trên macOS?
SIP hiện có thể được tắt đi, tuy nhiên bạn không thể thực hiện nó khi máy đang chạy bình thường. Thay vào đó, bạn cần tắt máy Mac, truy cập vào chế độ Recovery rồi dùng lệnh csrutil để vô hiệu hóa SIP. Chi tiết cách làm như sau:
1. Restart macOS và giữ phím Command + R
2. Chọn Ultilities / Terminal
3. Gõ vào câu lệnh sau và restart lại máy :
csrutil disable
SIP là một trong những nỗ lực của Apple để bảo mật hệ điều hành MacOS. Được xây dựng trên nền tảng Unix, macOS cung cấp giao diện thân thiện với người dùng của Apple và luôn tìm cách để bảo vệ quyền riêng tư của người dùng.
Leave a Reply