くらし情報『新・OS X ハッキング! (152) El Capitanの「SIP」をもっと知る』

2016年1月25日 23:11

新・OS X ハッキング! (152) El Capitanの「SIP」をもっと知る

を実行すれば可能だが、そうすると今度はOS Xのセキュリティが低下する。root権限がありさえすればファイルシステムを書き換えできることは長らく見過ごされてきたリスクであり、Appleの意図どおりここを制限すれば確実な効果が期待できる。確かに自由度は低下するものの、メリットとデメリットを比較すると受け入れる理由もうなずける新機構といえるだろう。

ところで、ディレクトリがSIPによる制限対象かどうかは、lsコマンドの「O」オプションで確認できる。グループ名の右横に「restricted」とあるディレクトリはSIPの対象であり、rootであっても書き込みできない。おかしいな、という場合にはこの方法で調べてみよう。

○設定情報はNVRAMに

SIPはOSより低位のレイヤーで管理されるため、設定情報はファイルシステム上ではなくファームウェアレベルで管理される。実際、nvramコマンドを使い「csr」というキーワードでNVRAMの内容を探ってみると、「csr-active-config」というキーになにやら値が登録されていることがわかる。
これが、SIPの挙動を決めているに違いない。

$ nvram -p | grep -i csr
csr-active-config %10%00%00%00

Appleが公開しているソースコードのコメント部分を見ると、この値の先頭1バイトはフラグ情報であろうことが推測できる。

関連記事
新着くらしまとめ
もっと見る
記事配信社一覧
facebook
Facebook
Instagram
Instagram
X
X
YouTube
YouTube
上へ戻る
エキサイトのおすすめサービス

Copyright © 1997-2024 Excite Japan Co., LTD. All Rights Reserved.