„Wielki Siurek”, jak już zaczęto nazywać nadchodzący macOS 11, wprowadza ważną zmianę dotyczącą bezpieczeństwa systemu. Będzie trudniej o nieautoryzowaną zmianę plików na wolumenie systemowym.
macOS 10.15 Catalina wprowadził dość rewolucyjny, choć na szczęście rzadko zauważalny, podział dysku na część użytkownika z pełnymi prawami dostępu oraz część systemową, której normalne procesy modyfikować nie mogą.
macOS 11 Big Sur idzie dalej. Wszystkie pliki na woluminie systemowym są kryptograficznie podpisane. Tak działa w APFS Signed System Volume (SSV). Każdy plik w systemowym woluminie Big Sur posiada teraz kryptograficzny hash SHA-256, który jest przechowywany w metadanych systemu plików.
Kiedy dane są odczytywane z SSV, ich aktualny hash jest porównywany z zapisanym hashem, aby sprawdzić, czy plik nie został naruszony lub uszkodzony.
Jak piszę Howard Oakley w swoim blogu Eclectic Light Company:
Dodatkowy hashing jest używany w samych metadanych systemu plików, od najgłębszych katalogów aż do węzła głównego, gdzie jest nazywany pieczęcią. Zapewnia to, że te hashe obejmują cały wolumen, jego dane i strukturę katalogów. Pieczęć jest weryfikowana przy każdym uruchomieniu komputera Mac, przez bootloader przed załadowaniem jądra oraz podczas instalacji i aktualizacji plików systemowych macOS. Jeśli weryfikacja nie powiedzie się, uruchamianie jest zatrzymywane, a użytkownik jest proszony o ponowną instalację systemu macOS.
Aktualizacje są również niezawodne dzięki temu mechanizmowi: jeśli nie mogą być zakończone, poprzedni system jest przywracany z migawki.
Rozszerzenia jądra (kernel extensions) w macOS 11 nie są już wbudowane w prelinkowane jądro, które jest używane do uruchamiania systemu. Zamiast tego są umieszczone w /Library/KernelCollections/AuxiliaryKernelExtensions.kc, czyli na zapisywanej przez użytkownika części dysku. Dlatego nie ma to wpływu na ochronę SSV.
Jeżeli mamy potrzebę dokonania własnych modyfikacji wolumenu systemowego, to nadal jest to możliwe, ale wymaga chwilowego wyłączenia ochrony, a po wprowadzeniu zmian „pobłogosławienia” ich specjalnymi komendami.
Należy uruchomić komputer w trybie odzyskiwania systemu. W Terminalu wydać polecenie csrutil authenticate-root disable. Następnie wprowadzamy zmiany i na końcu „błogosławimy” je za pomocą komendy: sudo bless –folder /[mountpath]/System/Library/CoreServices –bootefi –create-snapshot.
Zdecydowana większość użytkowników nie zauważy, żadnych zmian związanych z wprowadzeniem SSV. Ci, których one dotkną, poradzą sobie za pomocą dostarczonych przez Apple rozwiązań.
Markę Synology kojarzycie zapewne z urządzeniami NAS. Te świetne dyski sieciowe dają możliwość przechowywania bezpiecznie…
Na rynek wchodzą dwa nowe głośniki marki Sonos: Era 100 i Era 300. Model Era…
Akcesoriów, które możemy dodać do naszego inteligentnego domu jest coraz więcej. Do tego zacnego grona…
Wiecie, że jedna z najlepszych baz danych - FileMaker (obecnie zmieniana jest nazwa na Claris),…
Elon Musk wszedł na Twittera i zrobił rewolucje. Ostateczną ocenę jego poczynań w tym serwisie…
Ten produkt miał już nie istnieć. Kiedy pojawiły się informację, że Apple nie przedłuży życia „dużego”…
Serwis wykorzystuje pliki cookies. Korzystając ze strony wyrażasz zgodę na wykorzystywanie plików cookies.