SIP چیست؟

SIP چیست؟

حفاظت از یکپارچگی سیستم در مک شما چیست؟ ما در این پست HiVPN توضیح می دهیم که SIP چه کاری انجام می دهد و چگونه بر نرم افزار macOS تأثیر می گذارد.

macOS با انتشار ۱۰.۱۱ El Capitan و معرفی System Integrity Protection یا به اختصار SIP تغییر قابل توجهی کرد. این یک اقدام امنیتی است که در سال ۲۰۱۵ پیامدهای بسیار بزرگی برای سیستم عامل داشت.

این روزها، اکثر ما با macOS پس از SIP سازگار شده ایم. اما ممکن است هنوز تعجب کنید که چیست، دقیقاً چه کاری انجام می دهد و چرا بهتر است آن را به حال خود رها کنید.

بنابراین بیایید نگاهی به SIP چیست؟ بیندازیم، هدف آن چیست و چرا در وهله اول به وجود آمد.

حفاظت از یکپارچگی سیستم چیست؟

به زبان ساده، «محافظت از یکپارچگی سیستم» یک اقدام امنیتی است که اپل برای محافظت از بخش‌های خاصی از نصب macOS و فرآیندهای اصلی شما و بررسی برنامه‌های افزودنی هسته شخص ثالث معرفی کرده است. به طور فعال از بخش‌هایی از سیستم شما در برابر تغییرات محافظت می‌کند و نصب برنامه‌های افزودنی ناامن را مسدود می‌کند.

در حالی که شما SIP را فعال کرده اید، مناطق خاصی به نام (غیرقابل تعجب) حفاظت از یکپارچگی سیستم شما کاملاً غیرمجاز هستند. می‌توانید از طریق برنامه توسعه‌دهنده اپل امتیازات خاصی را به دست آورید، که به نرم‌افزار امضاشده اجازه می‌دهد تا اقداماتی مانند نصب درایورها را انجام دهد.

SIP نامرئی است و کاملاً در پس زمینه کار می کند. این همان Gatekeeper نیست، دیگر ویژگی امنیتی اپل که نصب نرم افزارهای شخص ثالث بدون امضا را مسدود می کند. اما مطمئناً بخشی از روند آگاهانه امنیتی است که باعث شد اپل این فناوری را معرفی کند که قبلاً به عنوان قرنطینه فایل شناخته می شد.

چرا حفاظت از یکپارچگی سیستم ضروری است؟

SIP از مک شما در برابر دخالت های ناخواسته محافظت می کند. این یک ویژگی امنیتی است که در مواجهه با افزایش تهدید بدافزار macOS ظاهر شد. زمان شعارهای بازاریابی اپل “من یک کامپیوتر شخصی هستم” که ادعا می کرد این سیستم عملا ضد گلوله است، گذشته است.

بدافزار مک وجود دارد. موارد مستند زیادی وجود دارد، از “باج افزار” ساده جاوا اسکریپت گرفته تا بدافزار فراگیر که تلاش می کند رمز عبور مدیریت شما را بدزدد . SIP و Gatekeeper تنها در محافظت در برابر این تهدیدات تا آنجا پیش می روند. خطرات مک یک مشکل واقعی است ، به خصوص وقتی صحبت از فناوری های مرورگر مانند پلاگین جاوا و Adobe Flash می شود.

اپل خاطرنشان کرد که بسیاری از تهدیدات برای macOS ( پس از آن OS X ) از این واقعیت ناشی می‌شود که اکثر رایانه‌های اپل از یک حساب کاربری با امتیازات مدیریت استفاده می‌کنند. داشتن دسترسی ادمین (روت) به رایانه شما استقلال را فراهم می کند، اما قبل از SIP، این امر باعث شد که برخی از کاربران ناخواسته نصب بدافزار را تأیید کنند.

به طور خلاصه: مک شما حتی از دست خودتان در امان نیست. با محدود کردن آنچه که دسترسی روت می‌تواند انجام دهد، اپل به طور موثر مانعی بین شما و حساس‌ترین بخش‌های سیستم شما ایجاد می‌کند. عارضه جانبی این رویکرد این است که شما دیگر کنترل کاملی ندارید، به خصوص با تغییر ظاهر و رفتار برنامه.

این تشدید تسلط اپل بر macOS باعث شده است که برخی از کاربران شکایت کنند که این پلتفرم به شدت از پلتفرم موبایل اپل یعنی iOS پیروی می کند. از طرف دیگر، iOS امن ترین پلتفرم موبایل در بازار است، بنابراین این رویکرد دارای امتیازاتی است.

SIP از کدام بخش‌های macOS محافظت می‌کند؟

SIP بر دایرکتوری ها، فرآیندها و پسوندهای هسته تأثیر می گذارد. این بدان معناست که شما نمی توانید تغییراتی در دایرکتوری های زیر ایجاد کنید:

• /سیستم
• /usr
• /صندوقچه
• /sbin

بیشتر این دایرکتوری ها حتی قابل مشاهده نیستند، بنابراین هدف حفاظت عمدتاً جلوگیری از نوشتن برنامه های شخص ثالث در این مناطق است. این همچنین شامل توانایی ایجاد تغییرات در فایل‌های سیستم اصلی است که به معنای سفارشی‌سازی کمتر از macOS قبل از SIP است.

کاربران و برنامه های شخص ثالث همچنان می توانند در فهرست های زیر تغییراتی ایجاد کنند:

• /برنامه های کاربردی
• /کتابخانه
• /usr/local

• SIP همچنین از بیشتر برنامه‌هایی که با macOS نصب می‌شوند در برابر تداخل محافظت می‌کند.
• در نهایت، پسوندهای کرنل شخص ثالث (از جمله درایورها) اکنون باید با شناسه توسعه دهنده اپل امضا شوند. اگر افزونه‌های هسته بدون امضا وجود داشته باشند، مک شما بوت نمی‌شود.

چگونه SIP بر روی نرم افزار مک تأثیر می گذارد؟

• در چند سالی که از معرفی SIP می گذرد، توسعه دهندگان و کاربران به طور یکسان خود را با قفل شدن برخی از اجزای سیستم سازگار کرده اند. بسیاری از توسعه دهندگان برنامه ها را از ابتدا بازنویسی کردند تا در کنار SIP کار کنند. بسیاری از موارد دیگر از آن زمان راه اندازی شده اند که از قبل محدودیت های اپل را برآورده می کنند.
• همه برنامه‌های موجود در اپ استور مک باید با SIP کار کنند تا تأیید اپل را کسب کنند. اکثریت قریب به اتفاق برنامه های شخص ثالث نیز به خوبی کار می کنند. چند استثنا مانند Winclone وجود دارد که همچنان به غیرفعال کردن (و سپس فعال کردن مجدد) SIP برای انجام عملکرد خود به عنوان یک ابزار شبیه سازی Boot Camp نیاز دارد.
• در حالی که تعداد زیادی ترفند کوچک و مفید برای مک برای تعمیر تقریباً همه چیزهایی که هنوز در دسترس هستند وجود دارد، ترفندهای عمیق سیستم عمدتاً دیگر قابل اجرا نیستند. برای مثال، برنامه‌های قالب‌بندی که برای تغییر رنگ‌ها، ظاهر و احساس Finder طراحی شده‌اند به تزریق کد متکی هستند که دیگر نمی‌توانید آن را انجام دهید. این برنامه ها دیگر بدون ساختن چیزی جدید از ابتدا قابل اجرا نیستند.
• با این حال، در نهایت، نرم افزار تحت تأثیر قرار نمی گیرد مگر اینکه توسعه دهنده به طور خاص به آن اشاره کند. اگر اینطور است، شاید ارزش آن را داشته باشد که به دنبال اپلیکیشن دیگری برای انجام همان کار بگردید. SIP برای محافظت از شما وجود دارد. برای اکثریت قریب به اتفاق کاربرانی که macOS را به‌عنوان یک پایگاه کاربردی برای انجام کار می‌بینند، ارزش زندگی در این محدودیت‌ها را دارد.

چگونه SIP را در macOS غیرفعال کنید؟

• اگر واقعاً می‌خواهید SIP را غیرفعال کنید، می‌توانید این کار را با راه‌اندازی مجدد در پارتیشن بازیابی مک خود انجام دهید ( Cmd + Rرا در هنگام راه‌اندازی نگه دارید)، سپس از ابزار خط فرمان csrutil استفاده کنید. راهنمای کامل ما برای غیرفعال کردن SIP را بررسی کنید، اما توصیه می‌کنیم پس از اتمام کار ، آن را دوباره فعال کنید.
• همچنین شایان ذکر است که رایانه شما هر بار که سیستم عامل خود را به روز می کنید یا به نسخه جدیدی از macOS ارتقا می دهید، SIP را مجدداً فعال می کند. شما همچنین می توانید آن را رها کنید و در اطراف آن کار کنید، زیرا اینجا برای ماندن است.

یکپارچگی سیستم، محافظت شده

• تلاش های اپل برای ایمن سازی macOS باعث شده است که از یک رکورد امنیتی عالی برخوردار باشد. macOS که بر پایه یونیکس ساخته شده است، کاربر پسند بودن اپل و رویکردی به حفظ حریم خصوصی کاربر را ارائه می دهد. این با یک پایه سنگی محکم و تمرکز بر امنیت کامل شده است.
• از آنجایی که نرم افزار جدید با در نظر گرفتن SIP ساخته شده است، فقط نرم افزارهای قدیمی، ترفندهای عمیق در سطح سیستم، و برنامه شخص ثالث عجیب و غریب نیاز دارند که آن را غیرفعال کنید.
• در نهایت، این یک ویژگی امنیتی است و از حساسیت های طراحی اپل برای پلتفرم macOS پیروی می کند. از آنجایی که استفاده از سیستم عامل اپل یکی از محرک های اولیه برای خرید مک است، غیرفعال کردن ویژگی مانند این چندان منطقی نیست.