É mais seguro permanecer no Yosemite ou usar o Sierra com o SIP desativado?

Navegue suas respostas
0

Como todos nós provavelmente sabemos, El Capitan introduziu o SIP. Embora seja uma excelente medida de segurança, ela também desativou muitas ferramentas e utilitários úteis nos quais me deparei - por exemplo, Assepsia e algumas utilidades no Wine.

Até agora, tenho permanecido no Yosemite para poder continuar usando essas ferramentas com suporte nativo. No entanto, agora que o Sierra está fora e tenho duas versões principais do sistema operacional, gostaria de avaliar os prós e contras de uma atualização. Ou seja, desabilitar o SIP na Sierra me colocará em uma posição menos segura do que permanecer na Yosemite, ou vou estar assumindo os mesmos riscos de segurança de qualquer forma?

Os argumentos contra desabilitar o SIP é bem documentado , por isso gostaria de evitar respostas como "O SIP é mais importante do que ter as suas ferramentas". Assumindo que minhas ferramentas são a principal prioridade, qual é o ambiente mais seguro para eu usá-las?

    
por CodeMoose 22.09.2016 / 18:34

1 resposta

1

  • Manter uma versão mais antiga do sistema operacional obviamente significa que você não obtém os vários outros aprimoramentos de segurança nas versões mais recentes (melhor criptografia SSL / TLS, melhorias da Sierra em como o Gatekeeper lida com imagens de disco, etc.).

  • A Apple geralmente parece liberar patches de segurança somente para as versões mais recentes de 2 ou 3 versões do sistema operacional. Desde o lançamento do Sierra, o Yosemite pode continuar recebendo patches. Por um tempo. Talvez.

  • Por outro lado, atualizar e desativar o SIP significa que você perderá os requisitos de assinatura do kext que a Yosemite tinha. Estes foram colocados no SIP em El Capitan, e assim quando você desliga o SIP, eles também desaparecem.

  • Na mão emocionante, é possível parcialmente desativar o SIP, desligando apenas as partes que interferem com suas ferramentas, enquanto deixa outras partes (por exemplo, kext signing) ativadas. Por exemplo, se você precisar que o DTrace funcione, mas as outras restrições do SIP estão corretas, você pode começar no modo de recuperação e executar o comando csrutil enable --without dtrace .

    Você pode ter que experimentar para ver quais partes do SIP precisam ser desativadas para que suas ferramentas funcionem. As opções são --without kext , --without fs , --without debug , --without dtrace , --without nvram e --no-internal . Você pode verificar o status atual com csrutil status (embora isso pareça mostrar o status de execução, não as configurações definidas, o que significa que ele não é atualizado até que você reinicie). Você também pode limpar a configuração de volta ao padrão com csrutil clear .

    Então, essa seria minha recomendação: atualizar e fazer uma desativação cirúrgica apenas das partes do SIP que interferem em suas ferramentas.

    BTW, este recurso de desativação parcial não está muito bem documentado, mas eu encontrei discussões sobre ele no apple.SE , bem como aqui , aqui e aqui .

por 23.09.2016 / 18:36

Tags

Como posso ativar a criptografia sem fio WPA2? Um computador pode executar uma exibição básica sem qualquer GPU de qualquer tipo?