OS X e sicurezza: disattivare SIP, ma solo se serve davvero

sicurezza

In OS X 10.11 El Capitan, Apple ha introdotto una particolare funzione di sicurezza che mira a tutelare l’integrità del sistema anche nel caso in cui qualche malware o hacker ostile riuscisse a compiere quella che tecnicamente si usa chiamare “escalation dei privilegi” sino ad assumere quelli di root. Spieghiamoci meglio.

Sappiamo che OS X prevede vari tipi di account utente. In tutti i sistemi operativi derivati da Unix l’utente di sistema cosiddetto root ha il massimo dei privilegi e può fare di tutto, ma in OS X non è più così. La funzione SIP (System Integrity Protection) elimina questa libertà di manovra e un utente che assuma il ruolo di root, lecitamente o meno, viene comunque sottoposto a forti limitazioni riguardo alle aree del sistema operativo su cui può intervenire.

Perché si disabilita SIP

Nella grande maggioranza dei casi questo è un vantaggio, in una piccola parte di casi diventa un limite. Non lo sarà mai per l’utente medio e nemmeno per quello anche un po’ smaliziato su come operare “sotto il cofano” di OS X. Può esserlo magari per qualche sviluppatore o per chi sta davvero sfruttando intensamente il cuore Unix di OS X.

sip-osx
Su questo Mac SIP è attivo, come dovrebbe sempre essere

SIP va “bloccato” prima dell’avvio del sistema operativo. Bisogna quindi avviare il Mac in modalità Recovery, arrivare alla schermata delle utility OS X e lanciare il Terminale. A questo punto diamo prima il comando csrutil disable per disabilitare SIP e poi reboot per avviare il Mac.

Il Mac dopo questa operazione funziona normalmente ma non ha più i controlli di SIP. Possiamo verificarlo lanciando il Terminale e dando il comando csrutil status. Di norma il sistema risponde con System Integrity Protection status: enabled, stavolta quell’enabled sarà un disabled.

Ora possiamo svolgere le operazioni per cui SIP era un ostacolo, ma ricordiamo che è una funzione importante di OS X e va riattivata il prima possibile. Completate le operazioni, quindi, riavviamo il Mac ancora in Recovery Mode, ritorniamo al Terminale e diamo il comando csrutil enable seguito da un altro reboot.

LASCIA UN COMMENTO