System Integrity Protection – Fluch oder Segen?

SIP Mit OS X El Capitan führte Apple das neue Sicherheitsfeature „System Integrity Protection“ kurz SIP, oder auch „rootless“ genannt, ein. Bereits mit der Einführung waren die Meinungen zur SIP sehr gespalten. Sobald es unter El Capitan ein Problem gab, flogen die Kommentare in Foren häufig mit Aussagen wie „Ja, das liegt an SIP, deaktiviere es einfach und dann geht es wieder“ und dies (leider) bis heute. Nur ist diese Vorgehensweise nicht wirklich Sinnvoll, denn Apple hat sich bei der Einführung etwas gedacht. Aus diesem Grund möchte ich Dir SIP einmal näher bringen.

Generell: Der Grund, warum bei der Einführung gefühlt vieles „schief lief“ war, dass vereinzelte Entwickler es schlichtweg verschlafen hatten, ihre Programme dahingehend anzupassen. Apple hatte die Entwickler oft genug darum gegeben, alles für SIP vorzubereiten.

Was macht SIP? SIP schützt besondere Unix-Verzeichnisse und vorinstallierte Apps von OS X vor Veränderung. Lediglich ein Installationsprogramm, welches ein bestimmtes Entitlment besitzt, darf diese Ordner/Apps bei aktiver SIP verändern. Denn wenn dies nicht der Fall wäre, könnte Apple das System und ihre hauseigenen Apps nicht mehr Updaten. Zu den von SIP geschützten Verzeichnissen gehören:

  • /system
  • /usr
  • /bin
  • /sbin

Sperrt mich Apple von meinem eigenen System aus? Nein, SIP kann deaktiviert werden. Dies sollte jedoch, wenn überhaupt, nur temporär vorgenommen werden und auch nur dann, wenn Du weißt, was Du tust. Außerdem gibt es keine Gewährleistung, dass Änderungen bei einem kommenden Systemupdate nicht überspielt werden.

  • Um SIP zu deaktivieren, musst Du deinen Rechner zuerst in den Recovery-Modus Starten (cmd + R)
  • Nun öffnest Du ein Terminal-Fenster und musst folgenden Befehl eingeben: „csrutil disable“.
  • Nach einem normalen Systemneustart startet Dein OS X ohne SIP
  • Um SIP wieder zu aktivieren, starte erneut in den Recovery-Modus und öffne ein Terminal-Fenster. Nun gebe den Befehl „csrutil enable“ ein. Nach einem Neustart ist SIP wieder aktiv.

Mein Fazit Danke Apple! Ich bin über die Einführung von SIP sehr froh. Ich erhalte damit eine erhöhte Sicherheit vor unberechtigten Änderungen an meinem (Grund-)System. Und sollte man dennoch einmal in die Verlegenheit kommen, Änderungen an diesen speziellen Ordnern vornehmen zu müssen, sperrt Apple einen ja auch nicht komplett aus.