macOS 11 Big Sur bezpieczniejszy: pliki systemowe podpisane

„Wielki Siurek”, jak już zaczęto nazywać nadchodzący macOS 11, wprowadza ważną zmianę dotyczącą bezpieczeństwa systemu. Będzie trudniej o nieautoryzowaną zmianę plików na wolumenie systemowym.

Nie tylko brak możliwości zapisu

macOS 10.15 Catalina wprowadził dość rewolucyjny, choć na szczęście rzadko zauważalny, podział dysku na część użytkownika z pełnymi prawami dostępu oraz część systemową, której normalne procesy modyfikować nie mogą.

macOS 11 Big Sur idzie dalej. Wszystkie pliki na woluminie systemowym są kryptograficznie podpisane. Tak działa w APFS Signed System Volume (SSV). Każdy plik w systemowym woluminie Big Sur posiada teraz kryptograficzny hash SHA-256, który jest przechowywany w metadanych systemu plików.

Kiedy dane są odczytywane z SSV, ich aktualny hash jest porównywany z zapisanym hashem, aby sprawdzić, czy plik nie został naruszony lub uszkodzony.

Jak piszę Howard Oakley w swoim blogu Eclectic Light Company:

Dodatkowy hashing jest używany w samych metadanych systemu plików, od najgłębszych katalogów aż do węzła głównego, gdzie jest nazywany pieczęcią. Zapewnia to, że te hashe obejmują cały wolumen, jego dane i strukturę katalogów. Pieczęć jest weryfikowana przy każdym uruchomieniu komputera Mac, przez bootloader przed załadowaniem jądra oraz podczas instalacji i aktualizacji plików systemowych macOS. Jeśli weryfikacja nie powiedzie się, uruchamianie jest zatrzymywane, a użytkownik jest proszony o ponowną instalację systemu macOS.

Aktualizacje są również niezawodne dzięki temu mechanizmowi: jeśli nie mogą być zakończone, poprzedni system jest przywracany z migawki.

Rozszerzenia jądra (kernel extensions) w macOS 11 nie są już wbudowane w prelinkowane jądro, które jest używane do uruchamiania systemu. Zamiast tego są umieszczone w /Library/KernelCollections/AuxiliaryKernelExtensions.kc, czyli na zapisywanej przez użytkownika części dysku. Dlatego nie ma to wpływu na ochronę SSV.

Jeżeli mamy potrzebę dokonania własnych modyfikacji wolumenu systemowego, to nadal jest to możliwe, ale wymaga chwilowego wyłączenia ochrony, a po wprowadzeniu zmian „pobłogosławienia” ich specjalnymi komendami.

Należy uruchomić komputer w trybie odzyskiwania systemu. W Terminalu wydać polecenie csrutil authenticate-root disable. Następnie wprowadzamy zmiany i na końcu „błogosławimy” je za pomocą komendy: sudo bless –folder /[mountpath]/System/Library/CoreServices –bootefi –create-snapshot.

Zdecydowana większość użytkowników nie zauważy, żadnych zmian związanych z wprowadzeniem SSV. Ci, których one dotkną, poradzą sobie za pomocą dostarczonych przez Apple rozwiązań.