ทำไมคุณไม่ควรปิดการใช้งาน System Integrity Protection บน Mac

ระบบปฏิบัติการเดสก์ท็อปของ Apple รุ่นใหม่แต่ละรุ่นดูเหมือนว่าจะวางข้อจำกัดสำหรับผู้ใช้มากกว่าเวอร์ชันก่อนหน้า System Integration Protection - System Integration Protection (หรือ SIP) อาจเป็นการเปลี่ยนแปลงที่ใหญ่ที่สุด

เมื่อเปิดตัวพร้อมกับ OS X 10.11 El Capitan นั้น SIP จะจำกัดความสามารถสำหรับผู้ใช้ในการแก้ไขโฟลเดอร์บางโฟลเดอร์ แม้ว่าบางคนจะประณามเทคโนโลยีความปลอดภัยล่าสุดของ Apple ว่าเป็นวิธีการควบคุมผู้ใช้ แต่กลับกลายเป็นว่ามีเหตุผลที่ดี

มีเหตุผลน้อยมากในการปิดใช้งานคุณลักษณะนี้ เรามาดูรายละเอียดจากบทความต่อไปนี้กันดีกว่า

การป้องกันการรวมระบบ (SIP) คืออะไร?

SIP เป็นคุณลักษณะด้านความปลอดภัยที่ออกแบบมาเพื่อปกป้องส่วนที่อ่อนแอที่สุดของระบบปฏิบัติการ กล่าวโดยย่อคือ จะป้องกันแม้แต่ผู้ใช้ที่มีสิทธิ์การเข้าถึงรูท (ด้วยคำสั่ง sudo) จากการแก้ไขตำแหน่งบางแห่งบนพาร์ติชันหลัก มีจุดมุ่งหมายเพื่อให้ผู้ใช้ Mac ปลอดภัย เหมือนกับข้อจำกัดซอฟต์แวร์ก่อนหน้านี้ที่ Gatekeeper แนะนำ

นี่อาจเป็นการตอบสนองต่อภัยคุกคามมัลแวร์ที่เพิ่มมากขึ้น ขณะนี้ Mac กลายเป็นเป้าหมายสำคัญของมัลแวร์ การค้นหา แรนซัมแวร์สปายแวร์ คีย์ล็อกเกอร์หรือแอดแวร์เก่าๆ ที่มุ่งเป้าไปที่แพลตฟอร์มของ Apple นั้นไม่ใช่เรื่องยาก

SIP ปกป้องพื้นที่หลักหลายแห่งของไดรฟ์ที่ติดตั้งระบบปฏิบัติการ รวมถึง /System, /bin, /sbin, /usr (แต่ไม่ใช่ /usr/local) ลิงก์สัญลักษณ์บางลิงก์จาก /etc, /tmp และ /var ก็ได้รับการป้องกันเช่นกัน แม้ว่าไดเร็กทอรีเป้าหมายจะไม่ได้เป็นเช่นนั้นก็ตาม มาตรการรักษาความปลอดภัยป้องกันกระบวนการที่ไม่มีสิทธิ์เพียงพอ (รวมถึงผู้ใช้ที่เป็นผู้ดูแลระบบที่มีสิทธิ์การเข้าถึงรูท) จากการเขียนไปยังไดเร็กทอรีเหล่านี้และไฟล์ที่เก็บไว้ภายใน

เทคโนโลยีนี้ยังป้องกันกิจกรรม "เสี่ยง" อื่นๆ ด้วย Apple กังวลว่าการเปลี่ยนแปลงที่ทำกับส่วนต่างๆ ของระบบอาจทำให้ Mac ของคุณตกอยู่ในความเสี่ยงและทำให้เกิดความเสียหายต่อระบบปฏิบัติการ การล็อคการเข้าถึงของผู้ดูแลระบบรูทจะช่วยปกป้อง Mac ของคุณจากคำสั่งระดับ sudo ที่ดำเนินการในเครื่องและจากระยะไกล

เหตุใดผู้ใช้จึงต้องการปิดใช้งานคุณลักษณะนี้

เมื่อมีการเปิดตัวคุณสมบัตินี้ครั้งแรก แอปพลิเคชั่นบางตัวที่ต้องอาศัยการแก้ไขโฟลเดอร์หรือไฟล์ระบบที่ได้รับการป้องกันจะไม่ทำงานอีกต่อไป ตามกฎแล้ว การปรับเปลี่ยนเหล่านี้เป็นการ "ก้าวก่าย" โดยเปลี่ยนวิธีการทำงานขององค์ประกอบหลักต่างๆ ของระบบปฏิบัติการและแอปพลิเคชันบุคคลที่หนึ่ง เครื่องมือสำรองและกู้คืนข้อมูลและแอพพลิเคชั่นบางอย่างที่ได้รับการประมวลผลโดยเฉพาะผ่านการทำงานของอุปกรณ์อื่น ๆ ก็ได้รับผลกระทบเช่นกัน

หากคุณต้องการใช้ซอฟต์แวร์ที่ต้องอาศัยการปรับเปลี่ยนการทำงาน คุณจะต้องปิดการใช้งาน SIP ก่อน ไม่มีวิธีใดที่จะสร้างข้อยกเว้นสำหรับแอปพลิเคชันที่กำหนดหากแอปพลิเคชันนั้นขาดสิทธิ์ที่จำเป็น สิ่งนี้นำไปสู่การคาดเดาว่าการเปลี่ยนแปลงจะส่งผลกระทบต่อนักพัฒนารายเล็กที่ขาดวิธีการทำงานร่วมกับ Apple เพื่อให้แน่ใจว่าซอฟต์แวร์ของพวกเขายังคงทำงานต่อไป

แม้ว่าสิ่งนี้อาจเป็นเรื่องจริง แต่แอปพลิเคชั่นจำนวนมากที่ไม่ได้ใช้งานบน El Capitan ในตอนแรกได้ถูกเขียนใหม่เพื่อรองรับระบบปฏิบัติการนี้ บาร์เทนเดอร์เป็นแอปพลิเคชั่นดังกล่าว นี่เป็นวิธีการล้างไอคอนแถบเมนู Mac Bartender ดั้งเดิมใช้งานได้กับ OS X 10.10 และต่ำกว่าเท่านั้น ในขณะที่ Bartender 2 ใช้งานได้กับ El Capitan และสูงกว่า โฟลเดอร์เริ่มต้น X ซึ่งเป็นแอปพลิเคชันอื่นที่ออกแบบมาเพื่อปรับปรุงกล่องโต้ตอบเปิดและบันทึก ได้รับการเขียนใหม่ทั้งหมดสำหรับ El Capitan และเวอร์ชันที่ใหม่กว่า ตอนนี้มันทำงานได้ค่อนข้างสมบูรณ์

แอปพลิเคชั่นบางตัวไม่ได้ถูกเขียนใหม่ทั้งหมด และแอปพลิเคชั่นบางตัวยังจำเป็นต้องปิดการใช้งาน SIP เพื่อให้ทำงานได้ โชคดีที่นี่เป็นเพียงชั่วคราวเท่านั้น เช่นเดียวกับในกรณีของ Winclone โซลูชันการโคลนและสำรองข้อมูล Boot Camp นี้กำหนดให้ผู้ใช้ปิดการใช้งาน SIP เพื่อเขียนไปยังพื้นที่ที่ได้รับการป้องกันของไดรฟ์ คุณสมบัตินี้สามารถเปิดอีกครั้งได้ในภายหลัง

SwitchResX เป็นอีกแอปพลิเคชั่นที่ต้องปิดการใช้งาน SIP โดยให้การควบคุมขั้นสูงบนจอแสดงผลภายนอก ตามความละเอียดเฉพาะที่ระบุในไฟล์ที่ได้รับการป้องกัน เมื่อกำหนดค่าจอภาพแล้ว ผู้ใช้สามารถกู้คืน SIP ได้จนกว่าจะต้องทำการเปลี่ยนแปลงอีกครั้ง แอปพลิเคชันอื่น ๆ เช่น XtraFinder (และแอปพลิเคชันอื่น ๆ อีกมากมายที่เปลี่ยนรูปลักษณ์และการทำงานของ Finder) จำเป็นต้องเปิดใช้งานคุณสมบัตินี้ด้วยการดีบักโดยใช้คำสั่ง csrutil เปิดใช้งาน - โดยไม่ต้องดีบัก

เนื่องจากการเปลี่ยนแปลงนี้ แอปพลิเคชันบางตัวจึงหยุดการพัฒนาโดยสิ้นเชิง แอปพลิเคชันอื่นๆ จะปิดใช้งาน SIP ชั่วคราวเท่านั้น จากนั้นจึงเปิดใช้งานอีกครั้ง สิ่งสำคัญที่นี่คือเป็นเรื่องที่น่ารำคาญมากเมื่อแอปพลิเคชันต้องปรับเปลี่ยนอินเทอร์เฟซหรือพฤติกรรมของระบบหรือคุณสมบัติที่ผสานรวม (เช่น Finder, Spotlight หรือ Dock) ก่อนที่จะเข้าถึงผู้บริโภค โดยส่วนใหญ่แล้ว การค้นหาโดย Google อย่างรวดเร็วหรือการดูคำถามที่พบบ่อยอย่างรวดเร็วก็จะช่วยได้

จะปิดการใช้งาน SIP ได้อย่างไร?

หากคุณตัดสินใจปิดใช้งาน SIP โปรดทราบว่าในทางเทคนิคแล้ว Mac ของคุณมีความปลอดภัยพอๆ กับที่คุณใช้ OS X 10.10 Mavericks คุณจะต้องให้สิทธิ์การเข้าถึงรูทเพื่อเขียนไปยังพื้นที่บางส่วนของไดรฟ์หรือขอสิทธิ์ผู้ดูแลระบบ คุณยังสามารถเปิดใช้งาน SIP อีกครั้งได้อย่างง่ายดายหากคุณตัดสินใจดำเนินการนี้ในภายหลัง

ผู้ใช้ Mac ส่วนใหญ่จะไม่จำเป็นต้องปิดการใช้งาน SIP นอกจากนี้ คุณควรเปิดใช้งานคุณสมบัตินี้ทิ้งไว้ เว้นแต่คุณจะพบกับสิ่งกีดขวาง หากคุณต้องการเปลี่ยนแปลงโฟลเดอร์ที่ได้รับการป้องกันหรือใช้ซอฟต์แวร์ที่ไม่มีสิทธิ์ ต่อไปนี้คือสิ่งที่ต้องทำเพื่อปิดใช้งาน SIP:

1. รีสตาร์ท Mac ของคุณโดยคลิก ไอคอน Appleที่ด้านซ้ายบนแล้วเลือกรีสตาร์ท
2. กดCommand+Rค้าง ไว้ ในขณะที่ Mac บูทเพื่อเข้าสู่โหมดการกู้คืน
3. เมื่อ Mac ของคุณบูทแล้ว ให้ไปที่Utilitiesแล้วเปิดTerminal
4. พิมพ์csrutil ปิดการใช้งานแล้วกดEnter
5. รีสตาร์ท Mac ของคุณตามปกติ

ทุกอย่างเสร็จเรียบร้อย! คุณสามารถเปิดใช้งานคุณสมบัตินี้อีกครั้งได้อย่างง่ายดายโดยการรีบูตเข้าสู่โหมดการกู้คืนเปิดTerminalแล้วพิมพ์csrutil clearจากนั้นกดEnter

คุณได้ปิด SIP แล้วหรือยัง?

บางทีคุณอาจเต็มใจที่จะเสี่ยงและปิด SIP บางทีคุณอาจไม่ต้องการให้ Apple กำหนดสิ่งที่คุณทำได้และไม่สามารถเปลี่ยนแปลงได้ แอปพลิเคชันอาจขอให้ปิด SIP หรือคุณเป็นแฟนตัวยงของการปรับแต่งระบบ หากคุณปิดฟีเจอร์นี้ เราอยากทราบว่าเพราะเหตุใด

มีเหตุผลเพียงเล็กน้อยที่จะปิดคุณลักษณะนี้เว้นแต่จะจำเป็นจริงๆ โปรดจำไว้ว่าการติดตั้ง macOS ใหม่มีแนวโน้มที่จะเปิดใช้งานคุณสมบัตินี้อีกครั้ง มีแนวโน้มว่า Apple จะยังคงแนะนำคุณสมบัติด้านความปลอดภัยและการควบคุมสิทธิ์ต่อไปใน macOS ใหม่แต่ละรุ่น

ดูเพิ่มเติม:

• บริการเครือข่าย Mac ที่ปลอดภัย
• เข้ารหัสไดรฟ์ภายนอกบน Mac OS X Lion
• เคล็ดลับในการเพิ่มความปลอดภัยให้กับ Mac OS X