[Cơ bản] SIP: hệ thống bảo mật ngăn chặn chạy quyền root trên macOS

Kể từ phiên bản macOS 10.11 El Captain, Apple đã có những sự thay đổi đáng kể, một trong số đó là sự ra đời của SIP ( System Integrity Protection). Đây là một biện pháp bảo mật có ảnh hưởng lớn tới hệ điều hành này khi nó nó ra đời vào năm 2015.
Tới ngày hôm nay, hẳn anh em đã dần quen với sự có mặt của nó, nhưng anh em có thể vẫn tự hỏi rằng, SIP là gì, và nó có vai trò như thế nào ?

SIP là gì ?

Nói một cách đơn giản, SIP là một hình thức bảo mật, được Apple cho ra đời nhằm mục đích bảo vệ và ngăn chặn việc sửa đổi, cài đặt các ứng dụng cũng như các tiện ích mở rộng không an toàn.
Khi anh em bật nó lên, chỉ những phần mềm đã được chính Apple kiểm định và cho phép lưu hành mới được cài đặt lên hệ điều hành macOS và ngay cả khi anh em đã có quyền root trong tay, anh em cũng sẽ không được quyền làm một số việc nhất định, ví dụ như ghi / xóa vào các file hoặc folder gốc của hệ thống, hay can thiệp vào các tiến trình (process) quan trọng.

Tại sao SIP lại cần thiết ?

Cơ chế của SIP là bảo vệ máy của anh em khỏi những can thiệp không cần thiết. Đó là một tính năng bảo mật xuất hiện khi người dùng Macbook đối mặt với mối đe dọa phần mềm độc hại ngày càng tăng của macOS.
Có nhiều anh em cho rằng, macOS không có malware, virus, nhưng thực tế là có. Những đoạn mã javascipts dạng "ransomeware" được tạo ra và phát tán qua những phần mềm độc hại, có thể can thiệp và đánh cắp thông tin và tài khoản root (tài khoản có quyền cao nhất của máy). SIP sẽ chống lại những mối đe dọa này. Đây thực sự là một vấn đề đối với Mac, điển hình là các plug-in java và Adobe Flash.

Apple cho biết hầu hết các vấn đề, mối đe dọa trên macOS thường đến từ các máy tính chỉ sử dụng một tài khoản có quyền admin và điều này, vô tình cho phép phê duyệt việc cài đặt của các phần mềm độc hại.

Bằng việc giới hạn quyền của user có quyền admin, Apple đã xây dựng nên một rào cản giữa bạn và những thành phần cốt lõi (nhạy cảm) nhất trong hệ thống của bạn. Mặt khác, anh em sẽ không còn quyền kiểm soát máy tính của mình một cách hoàn toàn. Việc thắt chặt này của Apple khiến khá nhiều người dùng cảm thấy khó chịu, và họ có cảm tưởng như đây là một iOS của máy tính vậy.

SIP sẽ bảo vệ những gì?

SIP sẽ ảnh hưởng tới những thư mục, tiến trình và các ứng dụng mở rộng, điều đó có nghĩa là, anh em sẽ không thể thực hiện những thay đổi đối với các thư mục sau:

/System
/usr
/bin
/sbin

Đây là những thư mục xương sống của macOS, và nó đã được SIP ẩn đi khiến cho các chương trình bên ngoài ko thể thay đổi hoặc can thiệp vào chúng. Và nó cũng bao hàm luôn việc anh em sẽ không thể thay đổi, tùy biến nhiều trên macOS.

Tuy nhiên, người dùng vẫn có thể thực hiện việc thay đổi với các thư mục còn lại như
/Applications
/Library
/usr/local

Ngoài ra, các ứng dụng liên quan tới hệ thống như driver đều bắt buộc phải được đăng kí và kiểm duyệt bởi Apple, nếu không, Macbook của bạn sẽ không thể khởi động nếu như máy có những chương trình đó.

SIP ảnh hưởng đến hoạt động của phần mềm Mac như thế nào?

Sau vài năm kể từ lúc SIP được chính thức giới thiệu, các lập trình viên cũng như người điều chỉnh để khóa các thành phần hệ thống. Nhiều lập trình viên cũng đã phải viết lại ứng dụng của mình từ đầu đề tương thích với SIP.
Tất cả các ứng dụng trong AppStore đều phải tương thích với SIP để được sự chấp nhận của Apple. Phần lớn các ứng dụng của bên thứ ba cũng hoạt động tốt. Có một vài ngoại lệ như Winclone, mà vẫn yêu cầu vô hiệu hóa (và sau đó kích hoạt lại) SIP để thực hiện chức năng của nó.

Làm cách nào để disable SIP trên macOS?

SIP hiện có thể được tắt đi, tuy nhiên bạn không thể thực hiện nó khi máy đang chạy bình thường. Thay vào đó, bạn cần tắt máy Mac, truy cập vào chế độ Recovery rồi dùng lệnh csrutil để vô hiệu hóa SIP. Chi tiết cách làm như sau:

1. Restart macOS và giữ phím Command + R

2. Chọn Ultilities / Terminal

3. Gõ vào câu lệnh sau và restart lại máy :

Code:

csrutil disable

SIP là một trong những nỗ lực của Apple để bảo mật hệ điều hành MacOS. Được xây dựng trên nền tảng Unix, macOS cung cấp giao diện thân thiện với người dùng của Apple và luôn tìm cách để bảo vệ quyền riêng tư của người dùng.

Tham khảo: makeuseof

dtheanh15

ĐẠI BÀNG

6 năm

và cũng kể từ High Sierra, Apple cũng ngăn luôn cho người dừng xoá ứng dụng mặc định của OS X khi vô hiệu hoá SIP. Từ 10.12 vể trước em cứ mặc định xoá Chess, Map, iBooks. Những cái không bao giờ đụng đến cho gọn Launch Pad.

5 năm

@nospecial chuột phải => Get Info => Permissions => Chỉnh hết về All Users, sau đó chỉ cần Shift Command BackSpace là xoá được. Nhưng ông nhớ phải tắt SIP trước nhé, khởi động lại máy, giữ Command R là vào Recovery. Ở mục Ultilities phía trên thì chọn Terminal rồi gõ csrutil disable, sau đó gõ tiếp reboot là được. Còn để bật lại thì làm tương tự, thay disable => enable.

Penguin Pingu

VIP

Mình cứ để đấy và chẳng cần tắt làm gì 😁. Dù sao SIP vẫn tương đối dễ chịu hơn SELinux trên Ubuntu hay Fedora :p

AbihT

@Penguin Pingu SELinux và Firewalld là 2 thứ mình thấy khíu chọ nhất trong Linux :'(

anhkhoquen

@dinhdobathi Nhất j nữa bác. Phải xác định nó là cái gây dont like

vqt907

@dinhdobathi Firewall còn dễ tắt và dễ hiểu, chứ cái selinux thì hãm k chịu đc, cứ im ỉm k thông báo gì còn phần mềm thì méo chạy đc

tobe2405

@dinhdobathi thế nào là khó chịu nhỉ 😁 không có bảo mật thì linux khác gì dead OS 😆

dac

Vào recovery mode rồi chạy Terminal và gõ resetpassword thì sao nhỉ?!

bread.avocado

Hay quá. Mình cài lại máy báo nhiêu lần từ Internet recovery mà chẳng thấy cái này. Đêm nay thử mò mẫm xem sao.
Quả thật Síp mà như này thì đúng là vừa bảo mật vừa sao sao 😃

Nguyen N°5

Mặc định người dùng làm biếng chuyện bảo mật lắm, và nhiều người không rành luôn. Nên apple bật sip sẵn, coi như bảo mật được 99% rồi. Trường hợp bạn cần vọc vạch gì đó thì mới tắt sip đi, nhưng chắc chắn bạn biết cách cài máy lại và thường là ít để dữ liệu quan trọng tring máy nên rủi ro cũng ko cao lắm

hongphuc9x

TÍCH CỰC

Thêm bức tường chắc đã tốt hơn

Sfvnthanh

CAO CẤP

Cái gì cũng nói đc, thật khó chiều hết mọi người dùng hử

longdakar

E đã thử vào recovery để disable SIP nhg vẫn ko? ăn thua. Hdh vẫn báo SIP ko? cho phép vào vùng cấm. Dg là Mac bảo mật quá cao..

bud's

Có cách nào xóa sạch ổ cứng Mac vĩnh viễn để không thể ai có thể khôi phục lại không?

macroi 1.1

@yeucodon mã hóa bằng công nghệ thì unlock mã hóa cũng bằng công nghệ thôi 😆)

yeucodon

@macroi 1.1 apple có sẵn phần mềm mã hóa nhé, cần có key mới unlock d mà. dùng cho những mục đích cá nhân chứ còn có phải ai cũng rảnh đi khôi phục lại ổ của cậu xong giải mã đâu
còn cậu nói vậy thì đến chuẩn mã hóa quân đội mỹ cũng lạy cậu hết nhé

@yeucodon không gì là không thể, chỉ là họ có nói thật và có làm không thôi 😁

nguyễn.dân

@bud's nếu Disk Ulitity còn option xoá an toàn ghi đè lên bản xoá tầm 30 lần là bố NSA mẹ DOD cũng không lấy lại được.

nhucongpro

cứ thế mà sài thôi

HonLuong Thai

Ai đang chơi hackintosh bắt buộc phải disable cái SIP này.

nghaimin

Cái này tương tự UAC (User Account Control) trên Windows

HCproboy

@nghaimin UAC tắt đi cũng nhanh lắm 😁

quocturtle

Có lần cài SPSS lậu cài đúng cực luôn

bonggondkn3

Có ai đam mê kali linux không nhỉ

D.lord

@bonggondkn3 Ko, thích Parrot Sec hay Blach Arch hơn 😁...

Yasuko

Việt Nam hầu hết đều tắt, dùng hàng lậu với cra thì ko tắt mới lạ.

@vinhanboy em cài lậu tẹt ga, nhưng chưa bao giờ tắt SIP, chỉ cần tắt Gate Keeper lúc cài và lần đầu mở app sau đó em bật Gate Keeper lại. Vừa cài lậu đc app, hi vọng là bản ..... không có con gì lúc nhúc bò ra, vừa có chút chút bảo vệ cho an toàn.

vvt03hp

Hay

[Cơ bản] SIP: hệ thống bảo mật ngăn chặn chạy quyền root trên macOS

CHỦ ĐỀ TƯƠNG TỰ

PWA hay Progressive Web App là gì, dùng khác gì app native, vì sao PWA trên iOS chưa ngon?

Ứng dụng máy tính trên macOS 15 có thể được thiết kế lại và thêm vào 1 số tính năng mới

Mark Gurman: bỏ qua M3, Apple sẽ nâng cấp chip M4 cho Mac mini và Mac Studio

Thử test 8GB RAM trên MacBook: Dùng cơ bản đúng là OK, nhưng sáng tạo nội dung gấp đôi mới đủ