System Integrity Protection unter Mac OS X 10.11

Unter der neuen Mac OS X 10.11 (El Capitan) gibt es ein neues Feature welches auf den Namen System Integrity Protection hört und auch als rootless bekannt ist. Die System Integrity Protection kurz SIP sorgt dabei dafür das selbst mit root-Zugangsrechten bestimmte Verzeichnisse nicht mehr ohne weiteres beschrieben werden können.

Dies betrifft die Verzeichnisse /bin, /sbin, /usr und /System. Eine kleine Ausnahme besteht beim /usr Verzeichniss, hier kann immer noch /usr/local beschrieben werden. Eine weitere Einschränkung ist das man sich nicht mehr an Systemprozesse anhängen kann. Daneben können nun nur noch von Apple bzw. von einem zertifizierten Entwickler signierte Kernel-Erweiterungen geladen werden – das gleiche gilt auch für Installer, welche auf obige Verzeichnisse schreibend zugreifen wollen. Unsignierte Erweiterungen werden vom Betriebssystem abgelehnt.

Der Grund für die Einführung der SIP ist die Erhöhung der Systemsicherheit. So ist es für eine Software relativ einfach root-Rechte zu erhalten und wenn es über die Frage an den Anwender nach dem Passwort ist. Mit Hilfe der SIP können root-Rechte nun nicht mehr so übergreifend zur Infiltrierung des Systems genutzt werden. Den Status der SIP kann man auf dem Terminal mittels:

csrutil status

erfragen. Möchte man die System Integrity Protection deaktivieren, so muss das Recovery-System gestartet werden und dort im Terminal:

csrutil disable

eingegeben werden. Nach einem Neustart ist die SIP dann deaktiviert.