Protezioni di sistema di OS X

/in /da

1. GATEKEEPER


Il Gatekeeper di OS X può essere impostato per consentire sempre l’esecuzione di app non firmate, mediante un comando da Terminale, eseguito come amministratore:

sudo spctl --master-disable

Per riabilitare Gatekeeper

sudo spctl --master-enable

2. SIP

SIP significa System Integrity Protection.

Protegge le directory di sistema da qualsivoglia modifica. Anche dall’utente root.

Un esempio è la cartella \usr

L’ideale per disabilitarlo è fare il boot sulla macchina con una chiavetta USB con OSX con la stessa versione dell’installato.

Poi da terminale:

csrutil disable

E poi riavviare la macchina da disco interno.

Per riabilitare stessa procedura e poi da terminale:

csrutil enable

Se poi volete dare nuovi opzioni

csrutil authenticated-root disable   -> nuovo in Big Sur e successivi

3. SKEL

Il Secure kernel Extension Loading server per impedire il caricamento di estensioni di kernel di terze parti.

Per disabilitarlo digitare da terminale:

spctl kext-consent disable

4. MCAL

Il meccanismo di convalida di accesso alla libreria server per impedire il caricamento di librerie non firmate.

Per disabilitarlo, ossia permetterne il caricamento, digitare da terminale:

sudo defaults write /Library/Preferences/com.apple.security.libraryvalidation.plist DisableLibraryValidation -bool true

5. AMFI

Apple Mobile File Integrity è un processo che verifica l’integrità dei dati e delle applicazioni.

Come per il SIP occorre partire da chiavetta USB e da terminale digitare:

vram boot-args=”amfi_get_out_of_my_way=0x1″

6. SVV

Signed System Volume serve per poter modificare la partizione a sola lettura dove è presente il sistema operativo.

Operazione possibile solo da OSX 10.11 in poi (BIG SUR) è una operazione particolarmente critica.

Come per il SIP occorre partire da chiavetta USB e da terminale digitare:

csrutil authenticated-root disable

A questo punto è disabilitata la cifratura del volume, quindi viene montato il volume di sistema ed viene effettuata la modifica.

Occorre alla fine digitare:

sudo bless –folder /[mountpath]/System/Library/CoreServices –bootefi –create-snapshot

Da farsi davvero solo in casi eccezionali.