27
El Capitanでシステム整合性保護を変更する方法

El Capitan には、OS X の新機能であるシステム整合性保護 (SIP) が搭載されています。これは「ルートレス」モードとも呼ばれます。SIP は、システム管理者 (「ルート」) 権限の有無にかかわらず、すべてのユーザーがオペレーティングシステムのディレクトリやファイルを変更できないようにすることで、システムファイルの変更を悪用するマルウェアの攻撃対象領域を縮小します。

マルウェアや、このモードを破る方法を見つける者が現れる可能性が完全になくなるわけではありませんが、侵入するための穴を見つける難易度は上がります。こうした変更はすべて、利益や破壊を目的としたハッキン​​グを思いとどまらせるでしょう。なぜなら、ハッキングに時間がかかり、成功率が低くなるほど、彼らは他のオペレーティングシステムや標的へと目を向けるようになるからです。

しかし、7月にこの機能とパブリックベータ版で利用可能な簡単な回避策について説明したように、システムを変更したり拡張したりするソフトウェアプログラムの中には、SIPでは正常に動作しないものがあります。El Capitanのゴールデンマスター(最終リリース候補)と正式版には、SIPを無効にするのが難しくなるものの、不可能ではないという小さな変更が加えられています。

ルートレスモードに関する初期報告では、Shirt Pocket SoftwareのSuperDuper!など、ルートレスモードを有効にすると動作しなくなるソフトウェアが多数あることが示唆されていました。しかし、Appleはベータテスト中にSuperDuper!をはじめとするアプリに関する懸念を解消する変更を加えました。(Shirt Pocketは、オープンソースプログラムの欠落に対処するためにSuperDuper!をアップデートする必要がありました。この欠落により、定期的なアップデートが中断されてしまうためです。El Capitan対応リリースでは、これらのアップデートを再作成する必要があります。)

現時点では、 SIP を有効にすると動作しない、広く使用されているユーティリティはごくわずかです。

  • St. Clair SoftwareのDefault Folder 4.7。しかし、開発者はSIPをバイパスする必要のないバージョン5の開発に全力で取り組んでいます。早ければ10月末にもリリースされる予定で、4.7の新規購入者には無料で提供されます。

  • BinaryAgeは、Finderを強化するソフトウェア「TotalFinder」の新規開発を中止します。これにより、一部の機能が利用できなくなります。デスクトップスペース管理ツール「TotalSpace2」のサポートは継続されますが、このアプリを使用するにはSIPを無効にする必要があります。

Rogue Amoeba 社は、SIP と互換性がないため、主力製品ではなかった Intermission の製造を中止し、その機能を Audio Hijack に組み込むことを決定しました。

以前はいくつかのユーティリティに関する懸念がありましたが、解決されました。

  • Surtees Studio のメニューバーアプリ管理ツール Bartender 1.3 は、リカバリ環境への往復(無効化、インストール、有効化)で SIP と連携できましたが、開発者は El Capitan のリリースに間に合うように Bartender 2.0 を完成させました。新バージョンは SIP に完全準拠しています。

  • Cindori の Disk Sensei 1.2 および Trim Enabler 3.1 は、rootless をオフにしなくても動作するようになりました。以前のバージョンでは動作しませんでした。

  • SuperDuper! と Carbon Copy Cloner はどちらも SIP を有効にすると動作します。

El Capitan ベータ版では、ルートレスモードを無効にするには、リカバリディスクから起動した後、メニュー項目を選択するだけで済みました。しかし、El Capitanでは少し複雑になっています。

警告:SIPの目的は、マルウェアやその他のシステムファイルへの望ましくない変更を防ぐことです。この保護を省略するかどうかを検討してください。

以下の手順を実行するには、ブートドライブに適切かつ最新のリカバリパーティションが存在している必要があります。これは当然のことですが、リカバリパーティションがインストールされていなくても起動ボリュームのクローンを作成することは可能です。

ルートレス起動回復ターミナル

リカバリのユーティリティ メニューからターミナルを選択します。

ルートレスターミナルコマンドの回復

リカバリ中のターミナルを使用して、SIP 無効化コマンドを入力します。

SIP を無効にするには、次の手順に従います。

  1. Macを再起動します。
  2. OS Xが起動する前に、CommandキーとRキーを押したまま、Appleアイコンとプログレスバーが表示されるまで押し続けます。離すと、リカバリーモードが起動します。
  3. [ユーティリティ] メニューから [ターミナル] を選択します。
  4. プロンプトで次のように入力し、Return キーを押します。csrutil disable
  5. 端末には SIP が無効になっていることを示すメッセージが表示されます。
  6. メニューから「再起動」を選択します。

上記の手順をcsrutil enable代わりに使用することで、SIP を再度有効にすることができます。

Leaks
Posted by Timsod