In OS X 10.11 El Capitan, Apple ha introdotto una particolare funzione di sicurezza che mira a tutelare l’integrità del sistema anche nel caso in cui qualche malware o hacker ostile riuscisse a compiere quella che tecnicamente si usa chiamare “escalation dei privilegi” sino ad assumere quelli di root. Spieghiamoci meglio.
Sappiamo che OS X prevede vari tipi di account utente. In tutti i sistemi operativi derivati da Unix l’utente di sistema cosiddetto root ha il massimo dei privilegi e può fare di tutto, ma in OS X non è più così. La funzione SIP (System Integrity Protection) elimina questa libertà di manovra e un utente che assuma il ruolo di root, lecitamente o meno, viene comunque sottoposto a forti limitazioni riguardo alle aree del sistema operativo su cui può intervenire.
Perché si disabilita SIP
Nella grande maggioranza dei casi questo è un vantaggio, in una piccola parte di casi diventa un limite. Non lo sarà mai per l’utente medio e nemmeno per quello anche un po’ smaliziato su come operare “sotto il cofano” di OS X. Può esserlo magari per qualche sviluppatore o per chi sta davvero sfruttando intensamente il cuore Unix di OS X.
SIP va “bloccato” prima dell’avvio del sistema operativo. Bisogna quindi avviare il Mac in modalità Recovery, arrivare alla schermata delle utility OS X e lanciare il Terminale. A questo punto diamo prima il comando csrutil disable per disabilitare SIP e poi reboot per avviare il Mac.
Il Mac dopo questa operazione funziona normalmente ma non ha più i controlli di SIP. Possiamo verificarlo lanciando il Terminale e dando il comando csrutil status. Di norma il sistema risponde con System Integrity Protection status: enabled, stavolta quell’enabled sarà un disabled.
Ora possiamo svolgere le operazioni per cui SIP era un ostacolo, ma ricordiamo che è una funzione importante di OS X e va riattivata il prima possibile. Completate le operazioni, quindi, riavviamo il Mac ancora in Recovery Mode, ritorniamo al Terminale e diamo il comando csrutil enable seguito da un altro reboot.
