什么是 SIP 呢?
SIP全名System Integrity Protection(系统完整性保护),又叫做Rootless保护机制,它是为了保护系统进程、文件、文档不被其它进程修改,不管是否为root user,简单的来说, Rootless 机制限制了 Root 账户的权限, 使其没有了对系统的完全控制权。
SIP技术主要分为文件系统保护、运行时保护、内核扩展签名。
- 文件系统保护,主要是通过沙盒机制限制root权限;
- 运行时保护,主要就是保护关键进程无法被进程代码注入,挂调试器以及内核调试等;
- 内核扩展签名,所有的第三方kext必须被安装到/Library/Extensions,并强制使用签名。
Mac系统自10.11之后,SIP/Rootless权限默认是enable,因而产生的影响有以下几点:
- 禁止直接对 /System, /bin, /sbin, /usr 目录的修改(/usr/local 目录除外). 只有通过苹果开发者认证的 app 才有权限对其修改.
- 禁止注入系统进程. 某些需要注入系统进程(finder, messages 等等系统级别的进程)的程序, debugger 无法使用了.
- 禁止加载内核扩展(kexts), 除非它们被苹果开发者正确的签名
这些修改最明显的好处就是: 恶意 app 无法通过用户授权的方式从而获得所有系统权限了。