新・OS X ハッキング! (152) El Capitanの「SIP」をもっと知る

El Capitanにおける最大の変更点は、間違いなく「System Integrity Protection(SIP)」だ。第142回で紹介したとおり、スーパユーザ(root)の権限狭めることでセキュリティ向上を図る機能だが、代わりに/usr以下など特定領域へのファイルの書き込みおよび削除がrootですら不可能になる、という事態を招いてしまった。rootならなんでもできる、という従来のUNIX系OSにおける常識は今後通用しなくなる。

この変化に気付いていない読者のために、SIPがもたらす影響を具体的に説明しよう。まず、手作業でドライバなど拡張書類(KEXT)を追加/削除できなくなった。たとえば、あるICカードリーダを利用するには、ドライバを手動で/usr/libexec以下に手動コピーしなければならないが、そのような処理はSIPにより却下される。SIPはデフォルトで有効なため、これを無効化しないかぎりユーザによるシステム領域の変更は認められない。

SIPの無効化は第142回で書いたとおり、リカバリーモードでTerminalを起動し「csrutil」コマンドを実行(csrutil disable)