Configuración de protección de integridad de sistema macOS

Estaba buscando bloquear la configuration en algunos Mac, y quería saber si hay alguna forma de cambiar los files y las carpetas que SIP protege. Sé que se puede desactivar y ver sus reglas actuales, pero ¿hay alguna manera de agregar sus propios directorys protegidos?

Gracias

  • Cómo copyr un libro de iBooks con resaltado?
  • OSX solicita repetidamente la contraseña de inicio de session de llavero
  • ¿Cómo puedo usar la tecla fn como una key independiente en mi Mac?
  • Utilidad barra de menus / barra de menus OS X / dock para supervisar un server?
  • Problemas al abrir files plist en editor de text
  • ¿Debo usar Automator u otro progtwig para tareas repetitivas?
  • Agujero de security FileVault cuando se usa en SSD
  • Instale 10.6 sobre 10.5 en iMac
  • ¿Cómo escribo una receta casera?
  • ¿Cómo puedo ver el windowid de Google Chrome para pasar a captura de pantalla -l
  • Mac OSX: Finder deja de mostrar la sección compartida
  • ¿El trabajo de Cron falla debido al wifi para dormir?
  • 2 Solutions collect form web for “Configuración de protección de integridad de sistema macOS”

    Es posible agregar su propio directory protegido a SIP:

    • Arranque en modo de recuperación y deshabilite SIP
    • Reinicia y crea una estructura de directory.
    • Marcar toda la carpeta o solo files o carpetas:

      sudo chflags restricted /example sudo chflags restricted /example/example.app sudo chflags restricted /example/subdir/file 

      o una jerarquía de carpetas:

       sudo chflags -R restricted /example 

      Si desea excluir un subdirectory después de usar la opción -R, debe quitar el indicador restringido allí:

       sudo chflags norestricted /example/subdir 
    • Arranque al modo de recuperación y habilite SIP

    Ahora las carpetas example , example.app y file / example / subdir / file están protegidas. Aún puede agregar o eliminar files a / from / example / subdir .


    El indicador restringido no tiene efecto si SIP está deshabilitado; se aplican los permissions habituales de POSIX / ACL. Con SIP habilitado, los files / carpetas están protegidos.


    También es posible agregar, eliminar o cambiar files y directorys protegidos por SIP a través de un package de installation firmado por la propia autoridad de certificación de Apple. Como un usuario / cliente normal generalmente no tiene acceso a esta autoridad de certificación, esta posibilidad se elimina.


    Una versión anterior de esta respuesta afirmaba que es necesario modificar el file /System/Library/Sandbox/rootless.conf y agregar algo como:

      /example /example/example.app * /example/subdir /example/subdir/file 

    ¡Esto está mal! Simplemente marcar un file o carpeta como restringido es suficiente para protegerlo.

    Hasta donde yo sé, no hay forma de modificar qué directorys SIP protege; SIP está activado o desactivado . Apple parece no hacer mención a tal habilidad en sus documentos de desarrollador tampoco.

    Ignore esto, @kanomath tiene una mejor respuesta. La última parte de mi respuesta aún se mantiene en un grado limitado.

    Si desea bloquear los files de configuration, modifique los permissions del sistema de files a través de la GUI de Finder o de la utilidad de command-line chown .

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).