Rootless 的说明
在OS X 10.11中苹果引入的Rootless机制。
关于Rootless的小小说明:
Rootless讨论的前提是假定root账户是OS
X(或者其他Unix系统)中对抗恶意程序保护操作系统的最后一道防线。意思是一个应用程序一旦获得了root账户权限,将会获得系统的无限的权限。就可以进行实时修改、修改磁盘、替换任何系统文件等。
目前,许多传统的Unix操作系统中,root账户都是被强密码保护着的。这里的问题在于大部分的OS X系统基本上是单用户系统,也就是不存在单独的root账户密码,root密码就是管理员账户的密码。简单来说,苹果通过以下途径来获取root权限:大部分用户会毫不犹豫的输入密码,都不会想他们到底授权了什么行为。更重要的是,授权给了什么应用程序。可以说,对于一般的无经验用户,他们没有时间和专业知识来考虑这个问题。他们不会意识到他们一旦输入了密码,请求的进程就会获得root权限。
什么是系统集成保护(System Integrity Protection)?
使用了系统集成保护,苹果决定第三方应用有一些永远不会被允许的事情。从某些层面来讲,这种保护和iOS更像了。第三方应用相比起来更受限制。这就是rootless一词的由来,系统在某种程度上限制了管理员账号的权限。
rootless特性使得某些操作只有苹果的应用可以被许可(通过代码签名来判断)。所以第三方应用即使是运行在root权限中,有一些操作也无法完成。在我的测试中我注意到了以下几点:
/System文件夹下的所有文件都不能被苹果应用以外的程序修改(例如各种安装器和升级部件)
当前的API例如task_for_pid不能在系统进程下被调用了。这意味着以前注入系统进程(Finder、Messages或者系统内核)的程序都不能用了。
有意思的是,rootless依然允许已签名的KEXT内核拓展被载入。问题是KEXT可以进行许多无限制的系统及操作。
** 总结 **
Rootless机制的目的很明显是改进安全性和可靠性,使得恶意软件以及木马很难渗透进系统。我很确信他将成为许多恶意软件开发者的一个挑战,不过我也很确定人们会发现这一机制很多薄弱的环节。
这个特性对于一些合法的软件有很多副作用。对此,苹果提供了一种方法使得用户可以关闭这个特性,但这需要用户以恢复模式启动(开机按住Command+R)
如果想了解更多,可以参考苹果的WWDC session视频。
rootless 的关闭方法
更新后的关闭方法,兼容Beta7: (在正式版中一样有效亲试)
- 开机按住Command+R,进入恢复模式,打开terminal,键入:
csrutil disable
回车,重新启动即可。
要重新恢复,只需将disable改为enable
csrutil enable
图文教程:
先关机
-
先按住 command + r 不要松 再按 开机键 (开机键可以送 command + r 不可送)
Snip20151009_2.png -
之后会看到系统加载进度 (command + r 这个时候还是不可以松的)
Snip20151009_3.png -
见到这个界面的时候松开 (command + r)
Snip20151009_4.png -
打开终端
Snip20151009_5.png -
输入
Snip20151009_6.png -
回车 见到 表示已近成功
Snip20151009_7.png 重启电脑,这样就可以尽情的使用cocoapods 了
注意:
这两个指令已经失效。
这个是关闭的指令:
sudo nvram boot-args="kext-dev-mode=1 rootless=0";sudo reboot
这个是开启的指令:
sudo nvram -d boot-args && sudo reboot
cocoa pods 不能正常的原因
cocoa pods不能正常使用的在于苹果开启了 rootless 导致
/usr/bin
文件夹我们不能进行正常的读写
如果是第一次在OS X 10.11下安装 cocoa pod ( sudo gem install cocoa pods)见到的错误就是
ERROR: While executing gem ... (Errno::EPERM)
Operation not permitted - /usr/bin/xcodeproj
也就是我们没有权限操作这个文件夹xcodeproj 执行内部的代码
这个是我关闭 rootless 后的效果
和在10.10 系统下使用没有区别。不会出现警告和错误。
参考的相关博客:
OS X 10.11 安装Cocoapods 出现问题的解决方法
Mac升级10.11后Xcode的CocoaPods插件报错 这个问题也是系统升级导致的,解决的。
OS X 10.11 安装Cocoapods 出现有关问题的解决办法
关于 mac OSX 10.11 下 Rootless 模式的一些见解
安装Cocoapods, 更新gem出现的问题
stackoverflow 类似问题的解答
OS X 10.11中Rootless的实现与解释以及关闭方法
