Frage: Ich möchte ein Tool auf meinem Mac installieren, das nur funktioniert, wenn ich die „System Integrity Protection“ abschalte. Wie genau gehe ich vor und ist es überhaupt ratsam, den Systemschutz abzudrehen?
Mac & i antwortet: Apple hat das Sicherheitskonzept namens „System Integrity Protection“ (SIP) – auch „Rootless“ genannt – mit OS X 10.11 El Capitan eingeführt. SIP sorgt dafür, dass Programme und Anwender selbst mit Root-Rechten keine System-Ordner von macOS mehr verändern können. Zudem sind Zugriffe auf laufende Prozesse und somit auch Debugging-Funktionen eingeschränkt. Deshalb funktionieren einige Tools, die weit in das System eingreifen, aber auch der Terminal-Befehl opensnoop von macOS, nur ohne SIP-Schutz so wie gewünscht.
Die SIP-Einstellung wird übrigens unabhängig vom Systemvolume im NVRAM Ihres Mac gespeichert und gilt somit für alle macOS-Installationen, die Sie booten möchten.
SIP in der macOS-Wiederherstellung (Recovery) komplett deaktivieren
Die System Integrity Protection lässt sich nur im Recovery-Modus von macOS ausschalten. Starten Sie dazu Ihren Mac neu und halten Sie dabei die Tastenkombination Cmd+R so lange gedrückt, bis der Apfel erscheint. Öffnen Sie im macOS-Wiederherstellungs-Modus das Terminal über das Dienstprogramme-Menü. Geben Sie dort den Befehl csrutil disable ein. Es erscheint im Terminal der Hinweis „Successfully disabled System Integrity Protection …“. Starten Sie ihren Mac neu.
SIP nur für DTrace/opensnoop deaktivieren
Falls Sie ausschließlich das genannte Terminal-Kommando opensnoop nutzen möchten, können Sie die System Integrity Protection auch ausschließlich für das dafür erforderliche Systemwerkzeug DTrace abschalten. Dann stehen Ihre System-Dateien und -Ordner weiterhin unter Schutz und können beispielsweise nicht durch eine Malware verändert werden – natürlich vorausgesetzt, dass sich SIP nicht umgehen lässt.
Starten Sie dazu Ihren Mac neu und halten Sie dabei die Tastenkombination Cmd+R so lange gedrückt, bis der Apfel erscheint. Öffnen Sie im Recovery-Modus das Terminal über das Dienstprogramme-Menü. Geben Sie zunächst den Befehl csrutil disable ein, um SIP komplett abzuschalten. Schalten Sie SIP nun über csrutil enable --without dtrace ein. Der Parameter „--without“ sorgt dafür, dass DTrace und somit auch opensnoop vollen Zugriff auf die Prozesse behalten. Falls die Bindestrich-Taste bei Ihnen einen Schrägstrich erzeugt, ändern Sie das Tastaturlayout oben rechts oder verwenden Sie die ß-Taste.
Starten Sie ihren Mac neu. Geben Sie zur Kontrolle nun im Terminal csrutil status ein. Dort sollte „DTrace Restrictions: disabled“ stehen. Falls nicht, wiederholen Sie den Vorgang, manchmal klappt es nicht beim ersten Mal.
SIP wieder komplett einschalten
Es empfiehlt sich, den abgeschalteten Systemschutz wieder einzuschalten, sobald Sie die erweiterten Rechte nicht mehr benötigen. So ist Ihr Mac wieder bestens vor Manipulation geschützt. Starten Sie dazu Ihren Mac neu und halten Sie dabei die Tastenkombination Cmd+R so lange gedrückt, bis der Apfel erscheint. Öffnen Sie im Recovery-Modus das Terminal über das Dienstprogramme-Menü. Geben Sie den Befehl csrutil enable ein, um SIP wieder einzuschalten. Starten Sie ihren Mac neu. Kontrollieren Sie den Status im Terminal mit csrutil status. Die Meldung sollte schlicht „System Integrity Protection status: enabled“ lauten.
Welches Risiko birgt die abgeschaltete System Integrity Protection?
Um es klar zu sagen: SIP schützt zwar das System vor Veränderungen, verhindert aber nicht, dass Sie sich Malware einfangen. Derartige Schadprogramme sind zwar noch selten, doch in den letzten Monaten gab es vermehrt Angriffsversuche auf Mac-Nutzer. Mac-Malware kommt zumeist in Huckepack mit bekannter Software wie einst beim Torrent-Downloader Transmission und kürzlich beim Video-Kodiererer Handbrake. Die manipulierte App fragt nach dem Admin-Passwort und begründet das damit, dass sie Video-Codecs installieren möchte. Darauf könnte man reinfallen. Hier bietet SIP also keinen Schutz.
Allerdings verhindert die System Integrity Protection, dass die Schadsoftware trotz der – durch die Passworteingabe eingeräumten – Admin-Rechte nicht noch das Betriebssystem manipulieren kann. So könnte die Malware dann beispielsweise den Dateisystem-Treiber so verändern, dass man die Dateien mit dem Schadcode nicht mehr entdecken kann. SIP begrenzt also allemal den Schaden. Sie sollten folglich auch bei ausgeschalteter SIP die gleiche Vorsicht und Achtsamkeit walten lassen wie bereits mit SIP. Schauen Sie genau hin, welche Anwendung wofür das Admin-Passwort verlangt und brechen Sie im Zweifel den Vorgang ab.
(lbe)