^
macOS 11 Big Sur desctop picutre i ikona

macOS 11 Big Sur bezpieczniejszy: pliki systemowe podpisane

Jaromir Kopp

26 czerwca 2020

„Wielki Siurek”, jak już zaczęto nazywać nadchodzący macOS 11, wprowadza ważną zmianę dotyczącą bezpieczeństwa systemu. Będzie trudniej o nieautoryzowaną zmianę plików na wolumenie systemowym.

Nie tylko brak możliwości zapisu

macOS 10.15 Catalina wprowadził dość rewolucyjny, choć na szczęście rzadko zauważalny, podział dysku na część użytkownika z pełnymi prawami dostępu oraz część systemową, której normalne procesy modyfikować nie mogą.

macOS 11 Big Sur idzie dalej. Wszystkie pliki na woluminie systemowym są kryptograficznie podpisane. Tak działa w APFS Signed System Volume (SSV). Każdy plik w systemowym woluminie Big Sur posiada teraz kryptograficzny hash SHA-256, który jest przechowywany w metadanych systemu plików.

Kiedy dane są odczytywane z SSV, ich aktualny hash jest porównywany z zapisanym hashem, aby sprawdzić, czy plik nie został naruszony lub uszkodzony.

Jak piszę Howard Oakley w swoim blogu Eclectic Light Company:

Dodatkowy hashing jest używany w samych metadanych systemu plików, od najgłębszych katalogów aż do węzła głównego, gdzie jest nazywany pieczęcią. Zapewnia to, że te hashe obejmują cały wolumen, jego dane i strukturę katalogów. Pieczęć jest weryfikowana przy każdym uruchomieniu komputera Mac, przez bootloader przed załadowaniem jądra oraz podczas instalacji i aktualizacji plików systemowych macOS. Jeśli weryfikacja nie powiedzie się, uruchamianie jest zatrzymywane, a użytkownik jest proszony o ponowną instalację systemu macOS.

Aktualizacje są również niezawodne dzięki temu mechanizmowi: jeśli nie mogą być zakończone, poprzedni system jest przywracany z migawki.

Rozszerzenia jądra (kernel extensions) w macOS 11 nie są już wbudowane w prelinkowane jądro, które jest używane do uruchamiania systemu. Zamiast tego są umieszczone w /Library/KernelCollections/AuxiliaryKernelExtensions.kc, czyli na zapisywanej przez użytkownika części dysku. Dlatego nie ma to wpływu na ochronę SSV.

Jeżeli mamy potrzebę dokonania własnych modyfikacji wolumenu systemowego, to nadal jest to możliwe, ale wymaga chwilowego wyłączenia ochrony, a po wprowadzeniu zmian „pobłogosławienia” ich specjalnymi komendami.

Należy uruchomić komputer w trybie odzyskiwania systemu. W Terminalu wydać polecenie csrutil authenticate-root disable. Następnie wprowadzamy zmiany i na końcu „błogosławimy” je za pomocą komendy: sudo bless –folder /[mountpath]/System/Library/CoreServices –bootefi –create-snapshot.

Zdecydowana większość użytkowników nie zauważy, żadnych zmian związanych z wprowadzeniem SSV. Ci, których one dotkną, poradzą sobie za pomocą dostarczonych przez Apple rozwiązań.

Jaromir Kopp

Użytkownik komputerów Apple od 1991 roku. Dziennikarz technologiczny, programista i deweloper HomeKit. Propagator przyjaznej i dostępnej technologii. Lubi programować w Swift i czystym C. Tworzy rozwiązania FileMaker. Prowadzi zajęcia z IT i programowania dla dzieci oraz młodzieży, szkoli też seniorów. Współautor serii książek o macOS wydanych przez ProstePoradniki.pl. Projektuje, programuje oraz samodzielnie wykonuje prototypy urządzeń Smart Home. Jeździ rowerem.
Komentarze (4)
L

4 komentarze

  1. mm

    To w końcu „Wielki” czy „Siurek”?

    • Jaromir Kopp

      Razem brzmi dumniej!

      • mm

        Napewno brzmi dumnie. Z drugiej strony fakt, że na widok polskiego tłumaczenia zlałem się ze śmiechu, nie pomoże z oswojeniem się z nową nazwą MacOS. Tyle jest pięknych okoliczności przyrody, a oni musieli akurat wybrać Wielkiego Siurka. Mam nadzieję, że nie będzie to miało wpływu na stabilność systemu.

  2. mariusz

    Moje pierwsze wrażenia po zainstalowaniu to takie, że Apple szykuje w kolejnych MacBookach ekran dotykowy. Interface jest jakby projektowany pod dotyk (takie samo jak w iPadzie Centrum Sterowania, zwiększone odstępy pomiędzy pozycjami w menu, ujednolicenie interface-u). Druga moja myśl – w niedalekiej przyszłości zobaczymy pewnie iPada Pro z macOS. Jeśli teraz zwykłem maki będą na Axx to iPad Pro z macOS wpisywałby się idealnie w tę linię.