Configuración de protección de integridad de sistema macOS

Estaba buscando bloquear la configuration en algunos Mac, y quería saber si hay alguna forma de cambiar los files y las carpetas que SIP protege. Sé que se puede desactivar y ver sus reglas actuales, pero ¿hay alguna manera de agregar sus propios directorys protegidos?

Gracias

  • ¿Qué puerto se usa en OS X para escritorio remoto?
  • Sincronización de notas con la count de google, se generaron innumerables notas
  • Windows-Logo-Key + Flecha izquierda / derecha - Atajo de keyboard equivalente en Mac
  • ¿Se puede cambiar el valor pnetworkingeterminado para "recordarme en la location" a "Llegada" en Recordatorios.app?
  • ¿Hay alguna manera fácil de networkingucir la calidad de los files .mov tomados de un iPhone?
  • Forzar el uso de conexiones SSL en aplicaciones dependientes de la web
  • ¡Carpeta de imágenes que muestra 39 GB para 0 artículos! ¿Por favor ayuda?
  • macOS ya no reconoce environment.plist
  • Agregar efectos de sonido estilo película a la Terminal
  • La inscripción del dispositivo devuelve 500 errores en OS X Server
  • No se puede restablecer la contraseña en el modo de recuperación
  • Al ver estas extrañas fonts solo en Safari
  • 2 Solutions collect form web for “Configuración de protección de integridad de sistema macOS”

    Es posible agregar su propio directory protegido a SIP:

    • Arranque en modo de recuperación y deshabilite SIP
    • Reinicia y crea una estructura de directory.
    • Marcar toda la carpeta o solo files o carpetas:

      sudo chflags restricted /example sudo chflags restricted /example/example.app sudo chflags restricted /example/subdir/file 

      o una jerarquía de carpetas:

       sudo chflags -R restricted /example 

      Si desea excluir un subdirectory después de usar la opción -R, debe quitar el indicador restringido allí:

       sudo chflags norestricted /example/subdir 
    • Arranque al modo de recuperación y habilite SIP

    Ahora las carpetas example , example.app y file / example / subdir / file están protegidas. Aún puede agregar o eliminar files a / from / example / subdir .


    El indicador restringido no tiene efecto si SIP está deshabilitado; se aplican los permissions habituales de POSIX / ACL. Con SIP habilitado, los files / carpetas están protegidos.


    También es posible agregar, eliminar o cambiar files y directorys protegidos por SIP a través de un package de installation firmado por la propia autoridad de certificación de Apple. Como un usuario / cliente normal generalmente no tiene acceso a esta autoridad de certificación, esta posibilidad se elimina.


    Una versión anterior de esta respuesta afirmaba que es necesario modificar el file /System/Library/Sandbox/rootless.conf y agregar algo como:

      /example /example/example.app * /example/subdir /example/subdir/file 

    ¡Esto está mal! Simplemente marcar un file o carpeta como restringido es suficiente para protegerlo.

    Hasta donde yo sé, no hay forma de modificar qué directorys SIP protege; SIP está activado o desactivado . Apple parece no hacer mención a tal habilidad en sus documentos de desarrollador tampoco.

    Ignore esto, @kanomath tiene una mejor respuesta. La última parte de mi respuesta aún se mantiene en un grado limitado.

    Si desea bloquear los files de configuration, modifique los permissions del sistema de files a través de la GUI de Finder o de la utilidad de command-line chown .

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).