حماية سلامة النظام
حماية سلامة النظام ( SIP ، [ 1 ] ويُشار إليها أحيانًا باسم " بدون صلاحيات الجذر" [ 2 ] [ 3 ] ) هي ميزة أمان في نظام التشغيل macOS من Apple ، تم تقديمها في نظام التشغيل OS X El Capitan (2015) (OS X 10.11). تتضمن هذه الميزة عددًا من الآليات التي يفرضها نواة النظام . ومن أهم مزايا SIP حماية الملفات والمجلدات المملوكة للنظام من التعديلات التي تُجريها العمليات التي لا تملك "صلاحية" محددة، حتى عند تنفيذها بواسطة المستخدم الجذر أو مستخدم يتمتع بصلاحيات الجذر ( sudo ).
تُشير آبل إلى أن حساب المستخدم الجذر قد يُشكّل خطرًا كبيرًا على أمان النظام، لا سيما في الأنظمة التي تحتوي على حساب مستخدم واحد يكون هذا المستخدم هو نفسه المسؤول. يتم تفعيل بروتوكول حماية النظام (SIP) افتراضيًا، ولكن يُمكن تعطيله. [ 4 ] [ 5 ]
التبرير
تؤكد آبل أن بروتوكول SIP خطوة ضرورية لضمان مستوى عالٍ من الأمان. في إحدى جلسات مطوري مؤتمر WWDC ، وصف مهندس آبل، بيير-أوليفييه مارتيل، الوصول غير المقيد إلى صلاحيات الجذر بأنه أحد نقاط الضعف المتبقية في النظام، قائلاً: "أي برنامج خبيث على بُعد كلمة مرور واحدة أو ثغرة أمنية واحدة من السيطرة الكاملة على الجهاز". وأوضح أن معظم أنظمة macOS لا تحتوي إلا على حساب مستخدم واحد يحمل بالضرورة بيانات اعتماد إدارية، مما يعني أن معظم المستخدمين يمكنهم منح صلاحيات الجذر لأي برنامج يطلبها. عندما يُطلب من المستخدم على مثل هذا النظام إدخال كلمة مرور حسابه - والتي غالبًا ما تكون ضعيفة أو غير موجودة، كما يقول مارتيل - فإن أمان النظام بأكمله مُعرّض للخطر. [ 4 ] تقييد صلاحيات الجذر ليس بالأمر الجديد على macOS. على سبيل المثال، تُطبّق إصدارات macOS السابقة لنظام Mac OS X Leopard المستوى 1 من SecureLevel ، وهي ميزة أمان مُستمدة من أنظمة BSD ومشتقاتها التي يستند إليها macOS جزئيًا. [ 6 ]
الوظائف

يتضمن بروتوكول SIP الآليات التالية:
- حماية محتويات ملفات النظام وأذونات نظام الملفات الخاصة بها؛
- حماية العمليات من حقن التعليمات البرمجية ، والربط أثناء التشغيل (مثل تصحيح الأخطاء ) و DTrace ؛
- الحماية من ملحقات النواة غير الموقعة ("kexts").
يحمي نظام حماية البرامج (SIP) ملفات النظام والمجلدات التي تم تحديدها للحماية. ويتم ذلك إما بإضافة سمة ملف موسعة إلى ملف أو مجلد، أو بإضافة الملف أو المجلد إلى قائمة الحماية، /System/Library/Sandbox/rootless.confأو كليهما. من بين المجلدات المحمية: /Systemو ، /binو /sbin، /usr(ولكن ليس /usr/local). [ 8 ] الروابط الرمزية من /etc، /tmpو /varإلى /private/etc، /private/tmpو /private/varمحمية أيضًا، على الرغم من أن المجلدات المستهدفة نفسها غير محمية. معظم تطبيقات Apple المثبتة مسبقًا في /Applicationsمحمية أيضًا. [ 1 ] تمنع نواة النظام ، XNU ، العمليات التي لا تملك صلاحيات محددة من تعديل أذونات ومحتويات الملفات والمجلدات المحددة، كما تمنع حقن التعليمات البرمجية، والربط أثناء التشغيل، وDTrace فيما يتعلق بالملفات التنفيذية المحمية . [ 9 ]
منذ نظام التشغيل OS X Yosemite ، أصبح توقيع ملحقات النواة، مثل برامج التشغيل ، إلزاميًا باستخدام ترخيص خاص من Apple. ويتعين على المطورين طلب معرّف مطوّر يتضمن هذا الترخيص من Apple. [ 10 ] في حال وجود ملحقات غير موقّعة، ترفض النواة الإقلاع ، وتعرض للمستخدم علامة تحذير . هذه الآلية، المسماة "توقيع ملحقات النواة"، دُمجت في SIP. [ 4 ] [ 11 ]
يقوم بروتوكول SIP أيضًا بتنظيف بعض متغيرات البيئة عند استدعاء برامج النظام أثناء تفعيله. على سبيل المثال، يقوم SIP بتنظيف متغيري LD_LIBRARY_PATH و DYLD_LIBRARY_PATH قبل استدعاء برنامج نظام مثل /bin/bash لتجنب حقن التعليمات البرمجية في عملية Bash. [ 12 ]
إعدادات
تشمل الدلائل المحمية بواسطة بروتوكول SIP بشكل افتراضي ما يلي: [ 13 ]
/System/sbin/bin/usr/Applications
/usrمحمية باستثناء /usr/localالمجلدات الفرعية. /Applicationsمحمية للتطبيقات المثبتة مسبقًا مع نظام macOS، مثل التقويم والصور وسفاري وTerminal ووحدة التحكم ومتجر التطبيقات والملاحظات. [ 13 ]
لا يمكن تعطيل SIP (كليًا أو جزئيًا) إلا من خارج قسم النظام . ولتحقيق ذلك، توفر Apple csrutilأداة سطر أوامر يمكن تشغيلها من نافذة Terminal داخل نظام الاسترداد أو من قرص تثبيت macOS قابل للتشغيل، حيث تضيف وسيطة تمهيد إلى ذاكرة NVRAM الخاصة بالجهاز . يُطبّق هذا الإعداد على جميع عمليات تثبيت El Capitan أو الإصدارات الأحدث على الجهاز. [ 4 ] عند تثبيت macOS، ينقل المُثبِّت أي مكونات غير معروفة داخل أدلة النظام المُعلَّمة إلى [ 1 ] [ 4 ]/Library/SystemMigration/History/Migration-[UUID]/QuarantineRoot/ . من خلال منع الوصول للكتابة إلى أدلة النظام، تُحفظ أذونات ملفات النظام وأدلته تلقائيًا أثناء تحديثات برامج Apple. ونتيجةً لذلك، لا يتوفر إصلاح الأذونات في أداة القرص [ 14 ] والعملية المقابلة .diskutil
استقبال
تباينت ردود الفعل على ميزة SIP. فقد أعربت مجلة Macworld عن قلقها من احتمال أن تستحوذ Apple على كامل صلاحيات المستخدمين والمطورين في الإصدارات القادمة، وأن تُحوّل سياسة أمان macOS تدريجيًا نحو نظام تشغيل iOS الخاص بها، ما يستلزم حينها كسر حماية النظام لتثبيت العديد من الأدوات والتعديلات . [ 2 ] [ 15 ] ولن تعمل بعض التطبيقات وبرامج التشغيل بكامل طاقتها، أو قد لا تعمل على الإطلاق، إلا إذا تم تعطيل هذه الميزة، سواءً مؤقتًا أو دائمًا. وأشارت Ars Technica إلى أن هذا قد يؤثر على المطورين الصغار بشكل غير متناسب، نظرًا لإمكانية تعاون المطورين الكبار مع Apple مباشرةً. ومع ذلك، فقد لاحظت أيضًا أن غالبية المستخدمين، بمن فيهم المستخدمون المتقدمون ، لن يكون لديهم سبب لتعطيل هذه الميزة، مؤكدةً أنه "لا توجد سلبيات تُذكر" لها. [ 1 ]
انظر أيضاً
مراجع
- 1 2 3 4 كونينغهام، أندرو؛ هاتشينسون، لي (29 سبتمبر 2015). "نظام التشغيل OS X 10.11 El Capitan: مراجعة آرس تكنيكا - حماية سلامة النظام" . آرس تكنيكا . تم الاطلاع عليه في 29 سبتمبر 2015 .
- 1 2 كونينغهام، أندرو (17 يونيو 2015). "نظرة أولى: نظام التشغيل OS X El Capitan يُضيف بعض ميزات Snow Leopard إلى Yosemite" . آرس تكنيكا . تم الاطلاع عليه في 18 يونيو 2015 .
- ↑ سليفكا، إريك (12 يونيو 2015). "نظام التشغيل OS X El Capitan يفتح الباب لدعم TRIM على محركات الأقراص الصلبة SSD من جهات خارجية لتحسين الأداء" . MacRumors . تم الاطلاع عليه في 18 يونيو 2015 .
- 1 2 3 4 5 مارتيل، بيير-أوليفييه (يونيو 2015). "الأمان وتطبيقاتك" (ملف PDF) . مطورو أبل . الصفحات 8-54 . مؤرشف (ملف PDF) من الأصل في 23 أبريل 2016. تم الاطلاع عليه في 30 سبتمبر 2016 .
- ↑ "تكوين حماية سلامة النظام" . مكتبة مطوري ماك . أبل . 16 سبتمبر 2015. مؤرشف من الأصل في 17 أغسطس 2016. تم الاطلاع عليه في 30 سبتمبر 2016 .
- ↑ غارفينكل، سيمون؛ سبافورد، جين ؛ شوارتز، آلان (2003). يونكس العملي وأمن الإنترنت . أورايلي ميديا . ص 118-119 . ISBN 9780596003234.
- ↑ "حول الشاشات التي تراها عند بدء تشغيل جهاز Mac الخاص بك" . دعم Apple . 13 أغسطس 2015. مؤرشف من الأصل في 21 أبريل 2016. تم الاطلاع عليه في 30 سبتمبر 2016 .
- ↑ "حول حماية سلامة النظام على جهاز Mac الخاص بك" . دعم Apple . 30 مايو 2016. مؤرشف من الأصل في 20 مارس 2016. تم الاطلاع عليه في 30 سبتمبر 2016 .
- ↑ "ما الجديد في نظام التشغيل OS X - OS X El Capitan v10.11" . مكتبة مطوري Mac . Apple. مؤرشف من الأصل في 4 مارس 2016. تم الاطلاع عليه في 30 سبتمبر 2016.
لم يعد مسموحًا بحقن التعليمات البرمجية أو إرفاقها بملفات النظام الثنائية أثناء التشغيل
. - ↑ "ملحقات النواة" . مكتبة مطوري ماك . أبل. 16 سبتمبر 2015. مؤرشف من الأصل في 17 أغسطس 2016. تم الاطلاع عليه في 29 سبتمبر 2016 .
- ↑ "تقليم الأشجار في يوسيميتي" . سيندوري . تم الاطلاع عليه في 18 يونيو 2015 .
- ↑ والتون، جيفري (28 مارس 2020). "تحديث نيتل 3.5.1 ونظام التشغيل OS X 10.12" . قائمة بريدية nettle-bugs . مؤرشف من الأصل في 14 يوليو 2020. تم الاطلاع عليه في 13 يوليو 2020 .
- 1 2 "كيفية التحقق من تفعيل حماية سلامة النظام (SIP) على نظام ماك" . OS X Daily . 1 أغسطس 2018. تم الاطلاع عليه في 6 مارس 2021 .
- ↑ "ملاحظات إصدار النسخة التجريبية الثانية للمطورين من نظام التشغيل OS X El Capitan" . مكتبة مطوري Mac . Apple. 22 يونيو 2015. في قسم الملاحظات والمشاكل المعروفة. مؤرشف من الأصل في 26 يونيو 2015. تم الاطلاع عليه في 29 يونيو 2015 .
- ↑ فليشمان، جلين (15 يوليو 2015). "الخاص 1: حماية سلامة النظام في نظام El Capitan ستغير وظائف المرافق" . ماكوورلد . تم الاسترجاع في 22 يوليو 2015 .
روابط خارجية
- تقنية أمان نظام التشغيل macOS
