[zibiap1]

Jeśli Admin pozwoli chciałbym założyć osobny wątek dotyczący SIP (rootless).
Funkcja ta nie pozwala na jakiekolwiek modyfikacje niektórych plików systemowych oraz instalowania aplikacja spoza App Store.
Wyłączyć ją można w trybie recovery (trzymając command i R przy starcie) następnie otwieramy terminal i wpisujemy „csrutil disable”. Dla początkujących użytkowników może to być dylemat, czy obniżyć poziom bezpieczeństwa os x czy zrezygnować z aplikacji spoza App Store, poza tym każda aktualizacja El Capitan (tak mi się wydaje) może przywrócić sip, zmodyfikować go czy całkowicie zablokować jego wyłączenie.
I tu proszę o pomoc i opinie, ponieważ wciąż nie zaktualizowałem Yosemite do El Capitan, a znalazłem informację, że np. CleanMyMac po aktualizacji do v.3.1 będzie działał bez wyłączania SIP?, proszę o potwierdzenie jeśli ktoś używa i ewentualnie o informacje jakie programy spoza App Store będą działały bez wyłączania SIP?
Dla mnie nie stanowi żadnego problemu praca z wyłączoną opcją, ale mam zaktualizować maca koleżance, która używa kilkunastu programów spoza sklepu, jest raczej laikiem i nie wiem czy szukać jej programów zastępczych w App Store, czy wyłączyć SIP?[/color][/font][/size]
Wszystkie opinie o SIP dotyczące zarówno kwestii działania programów jak i inne ciekawostki dotyczące tej funkcji mile poniżej widziane.
 
p.s. wiem że temat troszkę dubluje wątek kompatybilność oprogramowania....
 
p.s.2 właśnie znalazłem opcję cześciowego wyłączania SIP : csrutil enable --without debug
ale jeszcze nie doczytałem jakie są różnice, a muszę iść do roboty:( więc jak się komuś nudzi to może
ktoś coś opisze:)

 

Nie wiem co Admin na Twój post ale prośba od moderacji: nie zmieniaj więcej wielkości ani kroju fontu w postach.

Edited by 666, 14 October 2015 - 18:21.
Prośba

[DanielF]

"Funkcja ta nie pozwala na jakiekolwiek modyfikacje niektórych plików systemowych oraz instalowania aplikacja spoza App Store."
 
Apple nie może zablokować aplikacji spoza sklepu ponieważ nikt nie zainstalował by np pakietu Office czy Adobe więc nie ma co robić rabanu. Masz przecież w ustawieniach systemu: tylko z Appstore, od zidentyfikowanych deweloperów itd. każdy program z oficjalnego źródła z certyfikatem powinien działać w 2 opcji.
https://www.mcvsd.or...developers.html

[zibiap1]

"Funkcja ta nie pozwala na jakiekolwiek modyfikacje niektórych plików systemowych oraz instalowania aplikacja spoza App Store."

Apple nie może zablokować aplikacji spoza sklepu ponieważ nikt nie zainstalował by np pakietu Office czy Adobe więc nie ma co robić rabanu. Masz przecież w ustawieniach systemu: tylko z Appstore, od zidentyfikowanych deweloperów itd. każdy program z oficjalnego źródła z certyfikatem powinien działać w 2 opcji.
https://www.mcvsd.or...developers.html

sorry troszkę niefortunnie się wyraziłem, brak możliwości modyfikacji niektórych plików systemowych powoduje, że instalowane aplikacje spoza sklepu nie będą działać bez wyłączenia SIP  i tu właśnie wpadło mi do głowy pytanie za 100 punktów, czy mali deweloperzy którzy nie udostępniają swoich programów na App Store, mają szanse na stworzenie wersji swojego programu działającego na El Capitan bez wyłączania Sip?

Edited by 666, 14 October 2015 - 18:22.

[DanielF]

Z czasem programiści nauczą się jak pisać programy na 10.11 i jak obejść niekóre ograniczenia, musisz uzbroić się w cierpliwość. W 10.12 zostanie wycięta 32-bitowa java 6 i wiele starszych programów wymagających javy np. starsze pakiety adobe nie będą działać - płacz będzie zawsze przy każdej nowej wersji OS X.

[torik-78856f3ad1]

I tu proszę o pomoc i opinie, ponieważ wciąż nie zaktualizowałem Yosemite do El Capitan, a znalazłem informację, że np. CleanMyMac po aktualizacji do v.3.1 będzie działał bez wyłączania SIP?, proszę o potwierdzenie jeśli ktoś używa i ewentualnie o informacje jakie programy spoza App Store będą działały bez wyłączania SIP?
 
 
Dla mnie nie stanowi żadnego problemu praca z wyłączoną opcją, ale mam zaktualizować maca koleżance, która używa kilkunastu programów spoza sklepu, jest raczej laikiem i nie wiem czy szukać jej programów zastępczych w App Store, czy wyłączyć SIP?
Wszystkie opinie o SIP dotyczące zarówno kwestii działania programów jak i inne ciekawostki dotyczące tej funkcji mile poniżej widziane. 
 
 
p.s.2 właśnie znalazłem opcję cześciowego wyłączania SIP :  csrutil enable --without debug
ale jeszcze nie doczytałem jakie są różnice, a muszę iść do roboty:( więc jak się komuś nudzi to może
ktoś coś opisze:)

 
Po pierwsze. Programy z poza sklepu można bez problemu uruchomić nawet od niecertyfikowanych wydawców (tych dla których trzeba zezwolić na uruchomienie).Clean My Mac działa bez najmniejszego problemu jak i inne programy spoza sklepu. Czasem może być program który przy uruchamianiu może prosić o zezwolenie na wykonywanie połączeń zewnętrznych (ja mam tak w Coda 2). 
 
Wyłączenie ochrony plików robi się (jak napisałeś) jednym poleceniem:
 
 - csrutil disable
 
aby z powrotem włączyć:
 
 - csrutil enable
 
W zasadzie nie ma żadnej potrzeby aby wyłączać ochronę plików, chyba że masz zamiar zmieniać wpisy w plikach systemowych.
 
Podsumowując wyłączenie SIP nie jest Ci w żaden sposób potrzebne.

[zibiap1]

Po pierwsze. Programy z poza sklepu można bez problemu uruchomić nawet od niecertyfikowanych wydawców (tych dla których trzeba zezwolić na uruchomienie).Clean My Mac działa bez najmniejszego problemu jak i inne programy spoza sklepu. Czasem może być program który przy uruchamianiu może prosić o zezwolenie na wykonywanie połączeń zewnętrznych (ja mam tak w Coda 2). 

 

Wyłączenie ochrony plików robi się (jak napisałeś) jednym poleceniem:

 

 - csrutil disable

 

aby z powrotem włączyć:

 

 - csrutil enable

 

W zasadzie nie ma żadnej potrzeby aby wyłączać ochronę plików, chyba że masz zamiar zmieniać wpisy w plikach systemowych.

 

Podsumowując wyłączenie SIP nie jest Ci w żaden sposób potrzebne.

Czyli to co pisali na forach to była burza w szklance wody:) i tak naprawdę problem z kompatybilnością programów spoza app store ogranicza sie tylko do ich aktualizacji do El Capitan, a problem z SIP będzie dotyczył tylko jednostkowych przypadków?

A jak sądzicie czy SIP to nie jest pierwszy krok do stworzenia aby os x został systemem bardziej zamkniętym jak ios?

[Gregory]

brak możliwości modyfikacji niektórych plików systemowych powoduje, że instalowane aplikacje spoza sklepu nie będą działać bez wyłączenia SIP  i tu właśnie wpadło mi do głowy pytanie za 100 punktów, czy mali deweloperzy którzy nie udostępniają swoich programów na App Store, mają szanse na stworzenie wersji swojego programu działającego na El Capitan bez wyłączania Sip?

 

Nie no, ale to nie tak.

 

SIP (System Integrity Protection) to funkcja, która pojawiła się w systemie El Capitan (10.11). Chroni ona katalogi systemowe: nie można nic do nich zapisać, nawet mając najwyższe uprawnienia. Administrator, root, polecenie sudo - nic nie działa, katalogi systemowe są zablokowane.

 

Programy, które nie instalują żadnych rozszerzeń systemowych i nie modyfikują zawartości katalogu System lub ukrytych katalogów /bin, /sbin, /usr działają bez problemu. Przykładem może być PYM Player – program dostępny jest poza App Store, ale działa pod El Capitanem bez konieczności wyłączania SIP.

 

Blokada dostępu do katalogu /usr może stanowić problem np. w przypadku programów portowanych z Linuksa (lub ogólnie z systemów uniksowych). Generalnie, jeśli program „instaluje się” przez przeciągnięcie jego ikony do katalogu Programy (jak na przykład Adium, PYM Player, Skype...), to SIP nie powinno mieć żadnego znaczenia. Jeśli jednak program ma instalator (ikonka przedstawiająca rozpakowane pudełko), to SIP może robić problemy – ale nie musi. Wszystko zależy od tego, czy dany program potrzebuje umieszczenia jakiś plików w blokowanych przez SIP katalogach.

 

Więcej informacji o funkcji SIP na stronie Apple: https://support.appl.../pl-pl/HT204899

 

Blokowanie programów spoza App Store (Gatekeeper) to funkcja obecna już od Liona (10.7.5). Można ją skonfigurować w preferencjach systemowych (menu Apple > Preferencje systemowe > Ochrona > Ogólne), wybierając dopuszczanie programów tylko z App Store, z App Store i od zidentyfikowanych autorów lub z dowolnego źródła. „Zidentyfikowani autorzy” to ci, którzy kupili od Apple odpowiedni certyfikat i podpisali program przy jego użyciu. Nawet jeśli wybrane jest dopuszczanie tylko programów od zidentyfikowanych autorów, zawsze można ręcznie uruchomić dowolny niepodpisany program. Znów, dobrym przykładem jest PYM Player: nie jest podpisany certyfikatem od Apple, więc próba uruchomienia wyświetli komunikat o błędzie. Należy wówczas kliknąć w program prawym przyciskiem i wybrać polecenie Otwórz. Wyświetlone zostanie wtedy okno dialogowe z możliwością otworzenia programu. Jest to czynność jednorazowa, wykonując ją „przedstawiamy” program systemowi i od tego momentu będzie on uruchamiany normalnie.

 

Więcej informacji o funkcji Gatekeeper na stronie Apple: https://support.appl.../pl-pl/HT202491

Edited by Gregory, 14 October 2015 - 09:20.

[cronopioverde]

Dobrze, że sprecyzowałeś, Gregory, bo w wątku bieżącym na początku już właśnie nastąpiło pomieszanie obydwu pojęć. Od siebie dodam, że pełna lista blokowanych przez SIP lokalizacji znajduje się w pliku /System/Library/Sandbox/rootless.conf, że jeśli ktoś zechce sobie skorzystać z takiego „oldie” jak np. Aspell, niech sobie najpierw zrobi mkdir /usr/local/bin oraz że najpełniej opisujący sprawę artykuł czytałem tutaj:
https://derflounder....security-model/
To, jak sądzę, wyczerpywałoby temat.

Edited by cronopioverde, 14 October 2015 - 09:44.

[zibiap1]

To teraz wszystko dla mnie  jasne

Na swoje usprawiedliwienie chciałbym tylko  dodać, że o Gatekeeper nie wspomniałem, ani nie pomyliłem z SIP, bo to kwestia dla mnie była zbyt oczywista. Natomiast rzeczywiście sądziłem, że SIP to bardziej permanentna blokada aplikacji spoza App Store, nie mających certyfikatów czy też nie "podobających" się Apple:) a to tylko kwestia blokady zapisu w plikach systemowych. THX