সত্যিই এল ক্যাপ্টেনের "রুটহীন" বৈশিষ্ট্যটি কী?

আমি এল ক্যাপাইটানের "রুটলেস" বৈশিষ্ট্য সম্পর্কে সবেমাত্র জানতে পেরেছি এবং আমি "এখানে কোনও রুট ব্যবহারকারী নেই", "কিছুই পরিবর্তন করতে পারে না /System" এবং "পৃথিবী শেষ হবে কারণ আমরা রুট পেতে পারি না " এর মতো জিনিসগুলি শুনছি ।

প্রযুক্তিগত স্তরে এল ক্যাপিটনের "রুটলেস" বৈশিষ্ট্যটি কী? এটি ব্যবহারকারীর অভিজ্ঞতা এবং বিকাশকারী অভিজ্ঞতার জন্য আসলে কী বোঝায়? হবে sudo -sএখনও কাজ, এবং, যদি তাই হয়, কিভাবে হবে হিসাবে একটি শেল ব্যবহার করার অভিজ্ঞতা rootপরিবর্তন?

প্রথম: "রুটলেস" নামটি বিভ্রান্তিমূলক, যেহেতু এখনও একটি রুট অ্যাকাউন্ট রয়েছে এবং আপনি এখনও এটি অ্যাক্সেস করতে পারেন (অফিসিয়াল নাম, "সিস্টেম ইন্টিগ্রিটি প্রোটেকশন" আরও সঠিক)। এটি আসলে যা করে তা হ'ল রুট অ্যাকাউন্টের শক্তি সীমাবদ্ধ করা, যাতে আপনি রুট হয়ে গেলেও সিস্টেমের উপরে আপনার সম্পূর্ণ নিয়ন্ত্রণ না থাকে। মূলত, ধারণাটি হ'ল ম্যালওয়্যারের পক্ষে রুট অ্যাক্সেস পাওয়া খুব সহজ (যেমন ব্যবহারকারীর কাছে কোনও লেখক ডায়ালগ উপস্থাপন করা, যার ফলে ব্যবহারকারী প্রশাসনের পাসওয়ার্ডকে স্বচ্ছন্দভাবে প্রবেশ করতে পারে)। এসআইপি সুরক্ষার আরেকটি স্তর যুক্ত করে, যা ম্যালওয়্যার রুট হয়ে গেলেও প্রবেশ করতে পারে না। এর খারাপ অংশটি অবশ্যই এটি আপনার নিজের ইচ্ছাকৃত কাজগুলির জন্য প্রযোজ্য। তবে এটি মূলের উপর যে সীমাবদ্ধতা ফেলেছে তা এতটা খারাপ নয়; তারা বেশিরভাগ "স্বাভাবিক" প্রতিরোধ করে না

মূল থেকে শুরু করে এমনকি যা এখানে সীমাবদ্ধ তা এখানে:

• আপনি কিছু সংশোধন করতে পারবেন না /System, /bin, /sbin, অথবা /usr(-setup /usr/local); বা অন্তর্নির্মিত অ্যাপস এবং ইউটিলিটিগুলির কোনও of কেবল ইনস্টলার এবং সফ্টওয়্যার আপডেটগুলি এই অঞ্চলগুলিকে সংশোধন করতে পারে এবং অ্যাপল-স্বাক্ষরিত প্যাকেজ ইনস্টল করার সময় এমনকি তারা এটি করে। তবে যেহেতু সাধারণ ওএস এক্স-স্টাইলের কাস্টমাইজেশনগুলি /Library(বা ~/Library, বা /Applications), এবং ইউনিক্স-স্টাইলের কাস্টমাইজেশনগুলি (যেমন হোমব্রিউ) প্রবেশ করে /usr/local(বা কখনও কখনও /etcবা /opt), তাই এটি কোনও বড় বিষয় নয়। এটি স্টার্টআপ ডিস্কে ব্লক-স্তরের লেখাগুলিকে বাধা দেয়, সুতরাং আপনি সেভাবে বাইপাস করতে পারবেন না।

  সীমাবদ্ধ ডিরেক্টরিগুলির সম্পূর্ণ তালিকা (এবং এর মত /usr/localএবং কিছু অন্যান্য ব্যতিক্রম ) এর মধ্যে রয়েছে /System/Library/Sandbox/rootless.conf। অবশ্যই, এই ফাইলটি একটি সীমাবদ্ধ অঞ্চলে।

  আপনি যখন এল ক্যাপিটেনে আপগ্রেড করেন, এটি কোনও "অননুমোদিত" ফাইলকে সীমাবদ্ধ অঞ্চল থেকে সরিয়ে নিয়ে যায় /Library/SystemMigration/History/Migration-(some UUID)/QuarantineRoot/।

• ডিবাগিংয়ের মতো জিনিসগুলির জন্য (বা তারা কী গতিশীল লাইব্রেরিগুলি লোড করে, বা অন্য কোনও জিনিস পরিবর্তন করে) এর জন্য আপনি সিস্টেম প্রক্রিয়াগুলিতে (যেমন those সিস্টেমের অবস্থানগুলি থেকে চলমান) সংযুক্ত করতে পারবেন না। আবার খুব বেশি কিছু নয়; বিকাশকারীরা এখনও তাদের নিজস্ব প্রোগ্রামগুলি ডিবাগ করতে পারেন।

  এটি বিল্ট-ইন অ্যাপল অ্যাপ্লিকেশনগুলিতে কোড ইনজেকশনের মতো কিছু উল্লেখযোগ্য বিষয়গুলিকে অবরুদ্ধ করে (বিশেষত সন্ধানকারী)। এর অর্থ হ'ল dtraceসিস্টেম মনিটরিংয়ের জন্য ভিত্তিক সরঞ্জামগুলি (উদাহরণস্বরূপ opensnoop) অনেকগুলি সিস্টেম প্রক্রিয়া পর্যবেক্ষণ ও প্রতিবেদন করতে সক্ষম হবে না।

• আপনি কার্নেল এক্সটেনশানগুলি (কেেক্সটস) লোড করতে পারবেন না যদি না তারা সঠিকভাবে স্বাক্ষরিত হয় (যেমন অ্যাপল বা অ্যাপল-অনুমোদিত বিকাশকারী দ্বারা)। নোট করুন যে কেেক্স সাইন ইনফোর করার জন্য পুরানো সিস্টেমটি প্রতিস্থাপন করে (এবং এটি বাইপাস করার পুরানো উপায়গুলি)। তবে v10.10.4 থেকে অ্যাপল তৃতীয় পক্ষের এসএসডিগুলির জন্য ট্রিম সমর্থন সক্ষম করার একটি উপায় পেয়েছে , স্বাক্ষরযুক্ত কেক্সটগুলি ব্যবহার করার # 1 কারণ চলে গেছে।

• সিয়েরায় (10.12) থেকে শুরু করে কিছু লঞ্চ করা কনফিগারেশন সেটিংস পরিবর্তন করা যায় না (উদাহরণস্বরূপ, কিছু লঞ্চ ডিমনগুলি লোড করা যায় না)।

• মোজাভে (10.14) থেকে শুরু করে, ব্যবহারকারীর ব্যক্তিগত তথ্য (ইমেল, পরিচিতি, ইত্যাদি) এ অ্যাক্সেস ব্যবহারকারীদের সেই তথ্য অ্যাক্সেস করার জন্য অনুমোদিত অ্যাপ্লিকেশনগুলিতে সীমাবদ্ধ। এটি সাধারণত একটি পৃথক বৈশিষ্ট্য হিসাবে বিবেচিত হয় (যাকে ব্যক্তিগত তথ্য সুরক্ষা, বা টিসিসি বলা হয়), তবে এটি এসআইপি এবং এসআইপি অক্ষম করে এটিও অক্ষম করে। দেখুন: "ব্যক্তিগত ডেটাতে অ্যাপ্লিকেশন অ্যাক্সেসকে সীমাবদ্ধ করতে ম্যাকস মোজাভে কী এবং কীভাবে প্রয়োগ করে?"

আপনি যদি এই বিধিনিষেধগুলি না চান - তবে আপনি যা আপনার অনুমতি দেয় তার বাইরে আপনার সিস্টেমটি পরিবর্তন করতে চান বা আপনি এই বিধিনিষেধের অধীনে ব্যবহারযোগ্য নয় এমন কক্সেটের মতো কিছু বিকাশ ও ডিবাগিংয়ের কারণে আপনি এসআইপি বন্ধ করতে পারেন। বর্তমানে এটি পুনরুদ্ধার মোডে রিবুট করা এবং কমান্ড চালানো প্রয়োজন csrutil disable(এবং আপনি একইভাবে এটি আবার সক্ষম করতে পারেন csrutil enable)।

আপনি এসআইপি-র অংশগুলি বেছে বেছে অক্ষম করতে পারেন । উদাহরণস্বরূপ, csrutil enable --without kextএসআইপি-র কার্নেল এক্সটেনশন সীমাবদ্ধতা অক্ষম করা হবে, তবে এর অন্যান্য সুরক্ষা জায়গায় রেখে দিন।

তবে দয়া করে অস্থায়ী বা আংশিকভাবে এসআইপি নিষ্ক্রিয় করার আগে থামুন এবং ভাবেন: আপনার কি সত্যিই এটি অক্ষম করা দরকার, বা আপনি যা চান তার জন্য আরও ভাল (এসআইপি-অনুগত) উপায় আছে? আপনি কি সত্যিই কিছু পরিবর্তন করতে প্রয়োজন /System/Libraryবা /bin, বা যাই হোক না কেন বা এটা পছন্দ একটি ভাল জায়গা যেতে পারে /Libraryবা /usr/local/binইত্যাদি? এসআইপি যদি আপনার এটি ব্যবহার না করা হয় তবে সীমাবদ্ধতা "অনুভব" করতে পারে এবং এটি অক্ষম করার কিছু বৈধ কারণ রয়েছে তবে এটি যা প্রয়োগ করে তা কেবলমাত্র সর্বোত্তম অনুশীলনকেই বহন করে।

যতটা সম্ভব সময় যতটা SIP র যতটা ছাড়ার গুরুত্ব আন্ডারস্কোর সক্রিয়, 23 সেপ্টেম্বর ঘটনা বিবেচনা, 2019. গুগল থেকে সিম্বলিক লিঙ্ক প্রতিস্থাপন করার চেষ্টা Chrome এ একটি আপডেট মুক্তি /varকরার জন্য /private/var। বেশিরভাগ সিস্টেমে এসআইপি এটিকে অবরুদ্ধ করেছিল এবং কোনও খারাপ প্রভাব ছিল না। এসআইপি অক্ষম হওয়া সিস্টেমে এটি ম্যাকোসকে ভাঙ্গা এবং আনবুটযোগ্য রেন্ডার করে। এসআইপি অক্ষম করার সর্বাধিক সাধারণ কারণ ছিল অগ্রহণযোগ্য (/ অযৌক্তিকভাবে স্বাক্ষরিত) কার্নেল এক্সটেনশানগুলি (বিশেষত ভিডিও ড্রাইভার) লোড করা; যদি তারা কেবল কেক্সট সীমাবদ্ধতা অক্ষম করত তবে তারা প্রভাবিত হত না। দেখুন অফিসিয়াল Google সমর্থন থ্রেড , একটি সুপার-ইউজার Q & A- এর উপর , এবং একটি আর্স টেকনিকা নিবন্ধ ।

তথ্যসূত্র এবং আরও তথ্য: "সিকিউরিটি অ্যান্ড ইয়োর অ্যাপস" সম্পর্কিত ডাব্লুডাব্লুডিসি উপস্থাপনা , কোরাটা.কম-এ এলদাদ আইলামের একটি ভাল ব্যাখ্যা , এল ক্যাপিটানের আর্স টেকনিকা পর্যালোচনা এবং এসআইপি-র একটি অ্যাপল সমর্থন নিবন্ধ এবং রিচ ট্রাউটনের গভীর ডাইভ ( যারা এই প্রশ্নের উত্তরও পোস্ট করেছেন )।

আমার জন্য, এর অর্থ ডিট্রেস আর কাজ করে না।

ডিট্রেস লিনাক্সের পিট্রেস / স্ট্রেসের অনুরূপ, এটি আপনাকে কোনও প্রক্রিয়া কার্নেলের সাথে কী বলছে তা দেখার অনুমতি দেয়। যতবারই কোনও প্রক্রিয়া কোনও ফাইল খুলতে, একটি ফাইল লিখতে বা একটি পোর্ট ইত্যাদি খুলতে চায়, তার জন্য কার্নেলটি জিজ্ঞাসা করা দরকার। লিনাক্সে, এই মনিটরিং প্রক্রিয়াটি "ইউজারল্যান্ড" -এ কার্নেলের বাইরে ঘটে এবং সুতরাং অনুমতিগুলি বেশ সূক্ষ্মভাবে তৈরি হয়। একজন ব্যবহারকারী তাদের নিজস্ব অ্যাপ্লিকেশনগুলি পর্যবেক্ষণ করতে পারেন (বাগগুলি সংশোধন করতে, মেমরি ফাঁস পেতে, ইত্যাদি) তবে অন্য ব্যবহারকারীর প্রক্রিয়া পর্যবেক্ষণ করার জন্য রুট হওয়া দরকার।

ওএসএক্স-এ ডিট্রেস কার্নেল স্তরে কাজ করে, এটি আরও কার্যকর ও শক্তিশালী করে তোলে, তবুও এটির কার্নেলের মধ্যে প্রোব যুক্ত করার জন্য এবং এর ফলে কিছু করার জন্য রুট অ্যাক্সেসের প্রয়োজন হয়। কোনও ব্যবহারকারী রুট না হয়ে তাদের নিজস্ব প্রক্রিয়াগুলি আবিষ্কার করতে পারে না, তবে মূল হিসাবে তারা কেবল তাদের নিজস্ব প্রক্রিয়াগুলি দেখতে পারে না, তবে বাস্তবে একই সাথে সিস্টেমে সমস্ত প্রক্রিয়া রয়েছে। উদাহরণস্বরূপ, আপনি একটি ফাইল দেখতে পারেন (আইওএসনুপ সহ) এবং কোন প্রক্রিয়াটি এটি পড়ে তা দেখতে পারেন। এটি ম্যালওয়ার সনাক্তকরণের জন্য এখন পর্যন্ত অন্যতম দরকারী বৈশিষ্ট্য। কার্নেলটি নেটওয়ার্ক IO এর সাথেও ডিল করে কারণ সেখানেও এটি সত্য। ওয়্যারশার্ক অস্বাভাবিক নেটওয়ার্ক ক্রিয়াকলাপ সনাক্ত করে, ডিট্রেস আপনাকে ডেটা প্রেরণ প্রক্রিয়াটি জানায়, এমনকি এটি কার্নেলের মতোই সিস্টেমে এম্বেড থাকলেও।

তবে এল ক্যাপ্টেন হিসাবে অ্যাপল ইচ্ছাকৃতভাবে ডিট্রেসকে কাজ করা থেকে বিরত রেখেছে - যেমনটি নির্দিষ্টভাবে লক্ষ্যবস্তু করা হয়েছে এবং এসআইপি-কে সীমাবদ্ধ করে বলে চিহ্নিত করা হয়েছে। কেন তারা এই কাজ করবে? ঠিক আছে, এর আগে অ্যাপল তাদের কার্নেল এবং ডিট্রেসকে সংশোধন করেছিল যাতে কিছু প্রক্রিয়া ডিট্রেসের মাধ্যমে পর্যবেক্ষণের বাইরে যেতে না দেয় (যা সেই সময়ে বেশিরভাগ সুরক্ষা গবেষককে বিরক্ত করেছিল যেহেতু কিছু প্রক্রিয়া এখন রুট হিসাবেও সীমা ছাড়িয়েছিল - ম্যালওয়্যার অন্তর্ভুক্ত করে)। এর জন্য তাদের কারণটি ছিল আইটিউনসের মতো অ্যাপ্লিকেশনগুলিতে ডিআরএমকে রক্ষা করা যেহেতু তাত্ত্বিকভাবে কেউ প্রক্রিয়াগুলির স্মৃতি থেকে ডিআরএম'র ডেটা ডিটিরাস করতে এবং ধরে নিতে পারে।

যাইহোক, একটি গুরুত্বপূর্ণ কাজ ছিল যা গবেষকদের তাদের কাজগুলি চালিয়ে যাওয়ার অনুমতি দেয় এবং এটি ছিল এই অপ্ট-আউট পতাকাটিকে উপেক্ষা করার জন্য কার্নেলটি পরিবর্তন করা, যাতে এই প্রক্রিয়াগুলিতে এখনও ডিগ্রাস ব্যবহার করা যেতে পারে। এটি আসলেই দুর্দান্ত ছিল কারণ প্রোগ্রামগুলি সনাক্তকরণ থেকে বিরত থাকার চেষ্টা করছে যেখানে এখন এই নো-ডিট্রেস পতাকা রয়েছে। অ্যাপল বা খারাপ ছেলেরা যে কোনও কিছুই গোপন করতে চেয়েছিল তা এখন স্পষ্ট দৃষ্টিতে ...

তবে এটি এখন কাজ করে না, সুতরাং এটি আপনাকে কীভাবে প্রভাবিত করে? ঠিক আছে, এটি আপনাকে প্রত্যক্ষ এবং অপ্রত্যক্ষভাবে উভয়কেই প্রভাবিত করবে। সরাসরি, এটি আপনার সিস্টেমে নজরদারি করার ক্ষমতা সীমাবদ্ধ করবে। বিপুল সংখ্যক নিম্ন-স্তরের সিস্টেম প্রশাসন এবং পর্যবেক্ষণ সরঞ্জাম (যা উচ্চ-স্তরের সরঞ্জামগুলি তৈরি করে) আর কাজ করবে না। পরোক্ষ প্রভাবটি আরও বেশি হবে - সিকিউরিটি পেশাদাররা সবচেয়ে খারাপ ধরণের হুমকি সনাক্ত করতে গভীর সিস্টেম অ্যাক্সেসের উপর নির্ভর করে। আমরা কেবল এটি আর করতে পারি না। ম্যালওয়্যার বিশ্লেষণ করার সময় এটি গুরুত্বপূর্ণ যে এটি কোনও ডিবাগার বা হনিপোটে চলছে তা জানেনা। এসআইপি অক্ষম করা খারাপ সফটওয়্যার এবং অ্যাপল উভয় থেকেই সমস্ত সফ্টওয়্যারকে বলে যে এই সিস্টেমটি দেখা হচ্ছে। আর নজর রাখছেন না। এসআইপি সুরক্ষা সম্পর্কে যদি তারা রুট সম্পর্কে শিক্ষিত ব্যবহারকারীদের থাকতে পারে - পরিবর্তে তারা এটিকে সরিয়ে দেয়। শেষ পর্যন্ত এর অর্থ হ'ল অ্যাপল 'সমস্ত থাকুন এবং শেষ করুন' এসআইপি সুরক্ষা প্রক্রিয়াটির সাথে মূল পাসওয়ার্ডের 'সমস্ত থাকুন এবং শেষ করুন' সুরক্ষা বাধাটিকে প্রতিস্থাপন করেছে। বা যদি আপনার সামাজিক ইঞ্জিনিয়ারিংয়ে কোনও ভাল হয় তবে একটি রিবুট সহ একটি মূল পাসওয়ার্ড ...

এটিও রয়েছে:

সিস্টেম ইন্টিগ্রিটি প্রোটেকশন (এসআইপি) তৃতীয় পক্ষগুলি দ্বারা সিস্টেম ফাইল এবং প্রসেসগুলি সংশোধন করা থেকে রোধ করার লক্ষ্য সহ একটি সামগ্রিক সুরক্ষা নীতি। এটি অর্জনের জন্য এটির নিম্নলিখিত ধারণাগুলি রয়েছে:

• ফাইল সিস্টেম সুরক্ষা
• কার্নেল এক্সটেনশন সুরক্ষা
• রানটাইম সুরক্ষা

ফাইল সিস্টেম সুরক্ষা

এসআইপি অ্যাপল ব্যতীত অন্য পক্ষগুলিকে নির্দিষ্ট ডিরেক্টরিতে সঞ্চিত ডিরেক্টরি এবং ফাইলগুলি যুক্ত করতে, মুছতে বা পরিবর্তন করতে বাধা দেয়:

/bin
/sbin
/usr
/System

অ্যাপল নির্দেশিত হয়েছে যে নিম্নলিখিত ডিরেক্টরিগুলি বিকাশকারীদের অ্যাক্সেসের জন্য উপলব্ধ:

/usr/local
/Applications
/Library
~/Library

/usrব্যতীত সমস্ত ডিরেক্টরি /usr/localএসআইপি দ্বারা সুরক্ষিত।

অ্যাপল এর নিজস্ব শংসাপত্র কর্তৃপক্ষ দ্বারা স্বাক্ষরিত কোনও ইনস্টলার প্যাকেজের মাধ্যমে এসআইপি-সুরক্ষিত ফাইল এবং ডিরেক্টরিগুলি যুক্ত করা, অপসারণ বা পরিবর্তন করা সম্ভব। এটি অ্যাপলটিকে বিদ্যমান এসআইপি সুরক্ষাগুলি পরিবর্তন করার প্রয়োজন ছাড়াই ওএসের এসআইপি-সুরক্ষিত অংশগুলিতে পরিবর্তন করতে সহায়তা করে।

প্রশ্নে শংসাপত্রের কর্তৃপক্ষ তাদের নিজস্ব ব্যবহারের জন্য অ্যাপল দ্বারা সংরক্ষিত আছে; বিকাশকারী আইডি-স্বাক্ষরিত ইনস্টলার প্যাকেজগুলি এসআইপি-সুরক্ষিত ফাইল বা ডিরেক্টরিগুলিকে পরিবর্তন করতে সক্ষম নয়।

কোন ডিরেক্টরি সুরক্ষিত তা নির্ধারণ করতে, অ্যাপল বর্তমানে ফাইল সিস্টেমে দুটি কনফিগারেশন ফাইল সংজ্ঞায়িত করেছে। প্রাথমিকটি নীচের অবস্থানে পাওয়া যায়:

/System/Library/Sandbox/rootless.conf

যেখানে rootless.confএসআইপি সুরক্ষিত সমস্ত অ্যাপ্লিকেশন এবং শীর্ষ স্তরের ডিরেক্টরিগুলির তালিকা করে।

অ্যাপ্লিকেশন

এসআইপি মূল অ্যাপগুলিকে সুরক্ষা দিচ্ছে যা ওএস এক্স অ্যাপ্লিকেশন এবং অ্যাপ্লিকেশন ইউটিলিটিসে ইনস্টল করে। এর অর্থ ওএস এক্স ইনস্টল করা অ্যাপ্লিকেশনগুলি মুছে ফেলা সম্ভব হবে না, এমনকি রুট সুবিধাগুলি ব্যবহার করার সময় কমান্ড লাইন থেকেও।

ডিরেক্টরি

এসআইপি বাইরেও বেশ কয়েকটি ডিরেক্টরি এবং সিমলিংক রক্ষা করছে /Applicationsএবং সেই ডিরেক্টরিগুলির শীর্ষ স্তরের তালিকাতেও রয়েছে rootless.conf।

সুরক্ষা ছাড়াও, অ্যাপল রুটলেস.কনফ ফাইলে এসআইপি'র সুরক্ষার জন্য কিছু ব্যতিক্রম সংজ্ঞায়িত করেছে এবং সেগুলি ব্যতিক্রমগুলি গ্রহাণু দিয়ে চিহ্নিত করা হয়েছে। এস আই পি এর সুরক্ষা থেকে এই ছাড়ের অর্থ হ'ল সেই অবস্থানগুলির মধ্যে ফাইল এবং ডিরেক্টরিগুলি যুক্ত করা, অপসারণ বা পরিবর্তন করা সম্ভব।

এই ব্যতিক্রমগুলির মধ্যে নিম্নরূপ:

• /System/Library/User Template - যেখানে নতুন অ্যাকাউন্টগুলির জন্য হোম ফোল্ডার তৈরি করার সময় ওএস এক্স টেম্পলেট ডিরেক্টরিগুলি এটি ব্যবহার করে।
• /usr/libexec/cups - যেখানে ওএস এক্স প্রিন্টার কনফিগারেশন তথ্য সঞ্চয় করে

অ্যাপল এই ফাইলটিকে তাদের বিবেচনা করে এবং এতে কোনও তৃতীয় পক্ষের পরিবর্তনগুলি অ্যাপল ওভাররাইট করে দেবে।

কোন ফাইলগুলি এসআইপি দ্বারা সুরক্ষিত হয়েছে তা দেখতে, টার্মিনালের ড্যাশ মূলধন O সহ lsকমান্ডটি ব্যবহার করুন :

ls -O

এসআইপি-সুরক্ষিত ফাইলগুলি সীমাবদ্ধ হিসাবে লেবেল করা হবে ।

একটি জেনে রাখা গুরুত্বপূর্ণ ধারণাটি হ'ল এমনকি যদি একটি সিএমলিংক এসআইপি দ্বারা সুরক্ষিত থাকে তবে এর অর্থ এই নয় যে তারা যে ডিরেক্টরিটি থেকে লিঙ্ক করছে তারা এসআইপি দ্বারা সুরক্ষিত রয়েছে। কোনও ওএস এক্স এল ক্যাপিটান বুট ড্রাইভের মূল স্তরে, বেশ কয়েকটি এসআইপি-সুরক্ষিত সিমলিংক রয়েছে যার নাম মূল-স্তরের ডিরেক্টরিতে সঞ্চিত ডিরেক্টরিগুলিকে নির্দেশ করে private।

যাইহোক, privateডিরেক্টরিগুলির বিষয়বস্তুগুলি পরীক্ষা করা হলে, সেই নির্দেশিকাগুলি যে ডিরেক্টরিগুলি নির্দেশ করে সেগুলি এসআইপি দ্বারা সুরক্ষিত হয় না এবং তারা এবং তাদের বিষয়বস্তু উভয়ই রুট সুবিধাগুলি ব্যবহার করে প্রক্রিয়া দ্বারা সরানো, সম্পাদনা করতে বা পরিবর্তন করতে পারে।

অ্যাপল যে এসআইপি ব্যতিক্রম নির্ধারণ করেছে তার তালিকা ছাড়াও এসআইপি ব্যতিক্রমগুলির rootless.confএকটি দ্বিতীয় তালিকা রয়েছে। এই তালিকায় তৃতীয় পক্ষের পণ্যগুলির জন্য বেশ কয়েকটি ডিরেক্টরি এবং অ্যাপ্লিকেশন নাম অন্তর্ভুক্ত রয়েছে। অনুরূপ rootless.conf, এই বর্জনীয় তালিকাটি অ্যাপলের এবং এটিতে কোনও তৃতীয় পক্ষের পরিবর্তনগুলি অ্যাপল দ্বারা ওভাররাইট করা হবে।

/System/Library/Sandbox/Compatibility.bundle/Contents/Resources/paths

রানটাইম সুরক্ষা

এসআইপি-র সুরক্ষাগুলি ফাইল সিস্টেমের পরিবর্তনগুলি থেকে সিস্টেমকে রক্ষা করার মধ্যে সীমাবদ্ধ নয়। এছাড়াও সিস্টেম কল রয়েছে যা এখন তাদের কার্যকারিতার মধ্যে সীমাবদ্ধ।

• টাস্ক_ফোর্ড_পিড () / প্রসেসর_সেট_টাস্কস () ইপিআরএম এর সাথে ব্যর্থ
• মাচ বিশেষ পোর্টগুলি এক্সিকিউটে পুনরায় সেট করা হয় (2)
• ডিল্ড এনভায়রনমেন্ট ভেরিয়েবল উপেক্ষা করা হয়
• ডিট্রেস প্রোব অনুপলব্ধ

তবে এসআইপি তাদের বিকাশকালে তাদের নিজস্ব অ্যাপ্লিকেশনগুলির বিকাশকারী দ্বারা পরিদর্শন অবরুদ্ধ করে না। এক্সকোডের সরঞ্জামগুলি বিকাশ প্রক্রিয়া চলাকালীন অ্যাপগুলিকে পরিদর্শন এবং ডিবাগ করার অনুমতি দিতে থাকবে।

এ সম্পর্কে আরও তথ্যের জন্য, আমি এসআইপি-র জন্য অ্যাপলের বিকাশকারী ডকুমেন্টেশনগুলি একবার দেখে নেওয়ার পরামর্শ দেব ।

কার্নেল এক্সটেনশন সুরক্ষা

এসআইপি স্বাক্ষরবিহীন কার্নেল এক্সটেনশানগুলির ইনস্টলেশন অবরোধ করে। এসআইপি সক্ষম করে ওএস এক্স এল ক্যাপিটেনে কার্নেল এক্সটেনশন ইনস্টল করতে, কার্নেল এক্সটেনশনটি অবশ্যই:

1. কেক্সটস শংসাপত্রে স্বাক্ষর করার জন্য বিকাশকারী আইডির সাথে সাইন ইন করুন
2. / লাইব্রেরি / এক্সটেনশনে ইনস্টল করুন

স্বাক্ষরবিহীন কার্নেল এক্সটেনশনটি ইনস্টল করা থাকলে, এসআইপি প্রথমে অক্ষম করা দরকার।

এসআইপি পরিচালনার বিষয়ে আরও তথ্যের জন্য, দয়া করে নীচের লিঙ্কটি একবার দেখুন:

সিস্টেমের স্বচ্ছতা সুরক্ষা - অ্যাপলের সুরক্ষা মডেলটিতে আরও একটি স্তর যুক্ত করা হচ্ছে