นอกเหนือจากข้อผิดพลาดของผู้ใช้ SIP จะป้องกันการโจมตีชนิดใด


3

ในไซต์นี้และในชุมชนผู้ที่สนใจ Apple อื่น ๆ ฉันมักจะเห็นผู้คนให้คำแนะนำอย่างมากกับการปิดใช้งานการป้องกันความสมบูรณ์ของระบบ สิ่งนี้ทำให้ฉันรู้สึกแปลก ๆ อยู่เสมอเนื่องจาก SIP ไม่ได้มีอยู่จนกระทั่งเมื่อไม่นานมานี้และป้องกันการปรับแต่งมากมายที่เคยเป็นเรื่องธรรมดาเช่น SIMBL และ OSXFuse

หากฉันเป็นผู้ใช้ที่กระตือรือร้นทำตามแนวทางความปลอดภัยขั้นพื้นฐานเช่น:

  1. การใช้รหัสผ่านที่รัดกุมและเป็นเอกลักษณ์
  2. ให้สิทธิ์ผู้ดูแลระบบแก่แอปพลิเคชันที่ฉันเชื่อถือเท่านั้น
  3. ใช้ sudo เมื่อจำเป็นเท่านั้นและสำหรับคำสั่งที่ฉันเข้าใจเท่านั้น

ฉันจะเปิดการโจมตีประเภทใดได้บ้างโดยปิดการใช้งาน SIP

อีกวิธีหนึ่งคือคอมพิวเตอร์ Mac ที่ไม่มี SIP มีความเสี่ยงมากกว่าเครื่องที่เทียบเท่าที่ใช้การกำหนดค่าเริ่มต้นของ Windows หรือ Linux ทั่วไป

คำตอบ:


4

จากหน้า Apple เกี่ยวกับ System Integrity Protection บน Mac ของคุณ

ก่อนการป้องกันความสมบูรณ์ของระบบผู้ใช้รูทไม่มีข้อ จำกัด สิทธิ์ดังนั้นจึงสามารถเข้าถึงโฟลเดอร์ระบบหรือแอปใด ๆ บน Mac ของคุณ ซอฟต์แวร์ที่ได้รับการเข้าถึงระดับรากเมื่อคุณป้อนชื่อผู้ดูแลระบบและรหัสผ่านเพื่อติดตั้งซอฟต์แวร์ ที่อนุญาตให้ซอฟต์แวร์แก้ไขหรือเขียนทับไฟล์ระบบหรือแอพใด ๆ

ดังนั้นตามคำถามของคุณผู้ดูแลระบบ sys ที่ดีจะต้องใช้รหัสผ่านที่รัดกุมการอนุญาตของผู้ดูแลระบบเฉพาะผู้ใช้ / แอปที่คุณเชื่อถือและใช้sudoเมื่อจำเป็นเท่านั้น

ตกลง ... ลองดูสถานการณ์สมมติ แต่เป็นไปได้ทั้งหมด: การติดตั้ง VirtualBox

สมมติว่าเว็บไซต์ VirtalBox ถูกแฮกและ VB เวอร์ชันที่เป็นอันตรายถูกอัพโหลดและทำให้พร้อมใช้งานเป็นของแท้ เนื่องจากการติดตั้ง VB นั้นต้องใช้rootสิทธิ์คุณจะต้องใช้sudoในการติดตั้งอย่างสม่ำเสมอ

หากไม่มี SIP ก็สามารถเขียนไปยังพื้นที่ที่ได้รับการป้องกันใด ๆ ก็ได้ในขณะที่รูทติดตั้งตัวเองด้วยสิทธิ์ผู้ดูแลระบบแบบเต็มรูปแบบเพื่อทำสิ่งที่ชั่วร้ายที่ต้องการทำ เป็นสิ่งสำคัญที่จะต้องทราบว่าการรักษาความปลอดภัยที่คุณระบุในคำถามของคุณไม่เคยเข้ามาเล่น

มันเป็นอีกชั้นของการป้องกัน

Mac ที่มี SIP นั้นปลอดภัยไม่น้อยกว่าเครื่อง Windows 10 ที่เปิดใช้งาน System Protection "Linux" เป็นหัวข้อที่กว้างเกินไปที่จะสร้างคำสั่ง อย่างไรก็ตามมี Oracle "Hardened" Linux (เวอร์ชัน RedHat Enterprise) ที่มีคุณสมบัติเหล่านี้


ขอบคุณแม้ว่ามันจะดูเหมือนว่าฉันชอบที่จุดนี้ฉันจะเมาค่อนข้างมีหรือไม่มี SIP Malbox VirtualBox สามารถเข้ารหัสไฟล์ส่วนใหญ่บันทึกการกดแป้นพิมพ์ของฉันขุดหาบิตคอยน์และช่วยเหลือการโจมตี DDOS
Wowfunhappy

3
SIP ปกป้องระบบไม่ใช่ผู้ใช้ คุณยังคงสามารถติดตั้งซอฟต์แวร์ที่เป็นอันตรายได้ แต่จะ จำกัด เฉพาะโปรไฟล์ของคุณ หลายครั้งในไซต์นี้ผู้ที่มีไวรัสต้องสงสัยถูกบอกให้ "ใช้บัญชีอื่น" และปัญหาจะหายไป
อัลลัน

หากโปรแกรมมีสิทธิ์ผู้ดูแลระบบจะไม่สามารถแก้ไขบัญชีอื่น ๆ บนเครื่องได้แม้จะใช้ SIP หรือไม่
Wowfunhappy

มันเป็นไปได้ไหม แน่ใจ ไม่น่าเป็นไปได้ เพื่อให้มีสิทธิ์ผู้ดูแลระบบคุณจะต้องให้สิทธิ์ผู้ดูแลระบบ นี่คือที่มาของเทคโนโลยีGatekeeperของ Apple
อัลลัน

แน่นอนฉันแค่ไม่เห็นว่าการเปิดหรือปิดใช้งาน SIP สร้างความแตกต่างในสถานการณ์นี้อย่างไร Virtualbox ที่เป็นอันตรายจะมีสิทธิ์ของผู้ดูแลระบบและสามารถทำให้ชีวิตเป็นจริงสำหรับผู้ใช้ทุกคนในระบบ ดังนั้นในขณะนี้ฉันยังคงไม่มั่นใจในการใช้งานจริงของ SIP สำหรับผู้ใช้ที่มีประสบการณ์ ซึ่งเป็นเรื่องดี - แต่ฉันไม่ชัดเจนว่าทำไมความเห็นยอดนิยมไม่เห็นด้วย
Wowfunhappy
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.