Cara Menonaktifkan Perlindungan Integritas Sistem pada Mac (dan Mengapa Tidak Seharusnya)
Mac OS X 10.11 El Capitan melindungi file dan proses sistem dengan fitur baru bernama System Integrity Protection. SIP adalah fitur tingkat kernel yang membatasi apa yang dapat dilakukan oleh akun "root".
Ini adalah fitur keamanan yang hebat, dan hampir semua orang - bahkan "pengguna dan pengembang" - harus membiarkannya diaktifkan. Tetapi, jika Anda benar-benar perlu memodifikasi file sistem, Anda dapat memotongnya.
Apa itu Perlindungan Integritas Sistem?
Pada Mac OS X dan sistem operasi mirip UNIX lainnya, termasuk Linux, ada akun "root" yang secara tradisional memiliki akses penuh ke seluruh sistem operasi. Menjadi pengguna root - atau mendapatkan izin root - memberi Anda akses ke seluruh sistem operasi dan kemampuan untuk memodifikasi dan menghapus file apa pun. Malware yang memperoleh izin root dapat menggunakan izin itu untuk merusak dan menginfeksi file sistem operasi tingkat rendah.
Ketikkan kata sandi Anda ke dalam dialog keamanan dan Anda telah memberikan izin root aplikasi. Ini secara tradisional memungkinkannya untuk melakukan apa saja pada sistem operasi Anda, walaupun banyak pengguna Mac mungkin tidak menyadari hal ini.
System Integrity Protection - juga dikenal sebagai "rootless" - berfungsi dengan membatasi akun root. Kernel sistem operasi itu sendiri memeriksa akses pengguna root dan tidak akan mengizinkannya melakukan hal-hal tertentu, seperti memodifikasi lokasi yang dilindungi atau menyuntikkan kode ke dalam proses sistem yang dilindungi. Semua ekstensi kernel harus ditandatangani, dan Anda tidak dapat menonaktifkan Perlindungan Integritas Sistem dari dalam Mac OS X itu sendiri. Aplikasi dengan izin root tinggi tidak dapat lagi merusak file sistem.
Anda kemungkinan besar akan memperhatikan hal ini jika Anda mencoba menulis ke salah satu direktori berikut:
- /Sistem
- /tempat sampah
- / usr
- / sbin
OS X tidak akan mengizinkannya, dan Anda akan melihat pesan "Operasi tidak diizinkan". OS X juga tidak akan memungkinkan Anda untuk me-mount lokasi lain di atas salah satu direktori yang dilindungi ini, jadi tidak ada jalan lain untuk hal ini.
Daftar lengkap lokasi yang dilindungi ditemukan di /System/Library/Sandbox/rootless.conf di Mac Anda. Ini termasuk file seperti aplikasi Mail.app dan Chess.app yang disertakan dengan Mac OS X, jadi Anda tidak dapat menghapusnya - bahkan dari baris perintah sebagai pengguna root. Ini juga berarti bahwa malware tidak dapat memodifikasi dan menginfeksi aplikasi tersebut.
Bukan kebetulan, opsi "perbaikan izin disk" di Disk Utility - yang lama digunakan untuk mengatasi berbagai masalah Mac - kini telah dihapus. Perlindungan Integritas Sistem harus mencegah izin file penting agar tidak dirusak. Disk Utility telah dirancang ulang dan masih memiliki opsi "Pertolongan Pertama" untuk memperbaiki kesalahan, tetapi tidak termasuk cara untuk memperbaiki izin.
Cara Menonaktifkan Perlindungan Integritas Sistem
Peringatan: Jangan lakukan ini kecuali Anda memiliki alasan yang sangat baik untuk melakukannya dan tahu persis apa yang Anda lakukan! Sebagian besar pengguna tidak perlu menonaktifkan pengaturan keamanan ini. Itu tidak dimaksudkan untuk mencegah Anda dari mengacaukan sistem - itu dimaksudkan untuk mencegah malware dan program berperilaku buruk lainnya dari mengacaukan sistem. Tetapi beberapa utilitas tingkat rendah hanya dapat berfungsi jika mereka memiliki akses tidak terbatas.
Pengaturan System Integrity Protection tidak disimpan di Mac OS X itu sendiri. Alih-alih, itu disimpan dalam NVRAM pada masing-masing Mac. Itu hanya dapat dimodifikasi dari lingkungan pemulihan.
Untuk mem-boot ke mode pemulihan, restart Mac Anda dan tahan Command + R saat boot. Anda akan memasuki lingkungan pemulihan. Klik menu "Utilities" dan pilih "Terminal" untuk membuka jendela terminal.
Ketik perintah berikut ke terminal dan tekan Enter untuk memeriksa status:
status csrutil
Anda akan melihat apakah Perlindungan Integritas Sistem diaktifkan atau tidak.
Untuk menonaktifkan Perlindungan Integritas Sistem, jalankan perintah berikut:
csrutil menonaktifkan
Jika Anda memutuskan ingin mengaktifkan SIP nanti, kembali ke lingkungan pemulihan dan jalankan perintah berikut:
csrutil memungkinkan
Restart Mac Anda dan pengaturan Perlindungan Integritas Sistem Anda yang baru akan berlaku. Pengguna root sekarang akan memiliki akses penuh, tidak terbatas ke seluruh sistem operasi dan setiap file.
Jika sebelumnya Anda memiliki file yang disimpan di direktori yang dilindungi ini sebelum Anda memutakhirkan Mac Anda ke OS X 10.11 El Capitan, mereka belum dihapus. Anda akan menemukan mereka dipindahkan ke direktori / Library / SystemMigration / History / Migration- (UUID) / QuarantineRoot / pada Mac Anda.
Kredit Gambar: Shinji di Flickr