新・OS X ハッキング! (152) El Capitanの「SIP」をもっと知る

を実行すれば可能だが、そうすると今度はOS Xのセキュリティが低下する。root権限がありさえすればファイルシステムを書き換えできることは長らく見過ごされてきたリスクであり、Appleの意図どおりここを制限すれば確実な効果が期待できる。確かに自由度は低下するものの、メリットとデメリットを比較すると受け入れる理由もうなずける新機構といえるだろう。

ところで、ディレクトリがSIPによる制限対象かどうかは、lsコマンドの「O」オプションで確認できる。グループ名の右横に「restricted」とあるディレクトリはSIPの対象であり、rootであっても書き込みできない。おかしいな、という場合にはこの方法で調べてみよう。

○設定情報はNVRAMに

SIPはOSより低位のレイヤーで管理されるため、設定情報はファイルシステム上ではなくファームウェアレベルで管理される。実際、nvramコマンドを使い「csr」というキーワードでNVRAMの内容を探ってみると、「csr-active-config」というキーになにやら値が登録されていることがわかる。これが、SIPの挙動を決めているに違いない。

$ nvram -p | grep -i csr
csr-active-config %10%00%00%00

Appleが公開しているソースコードのコメント部分を見ると、この値の先頭1バイトはフラグ情報であろうことが推測できる。