« 夏の収穫 | トップページ | アボカドの発芽 »

2015年8月 3日 (月)

rootless

どうやら今秋出てくる予定のMacOSⅩ、「El Capitan」には新しいアクセス制限、「rootless」機能が搭載されるようです。 以下防備録。

rootless、、、 って何?

Appleの機能解説では"System Integrity Protection"と言われている。 よーするに、root権限でなんでもかんでも許可ではなく、最重要部分はroot権限でもアクセス不可にする、ってことらしい。

これによって、パスワード入力をユーザに促すタイプのマルウェアに対処しようというわけだ。(勝手にコマンド実行やkextを入れられなくなるわけだ)


/usr とか、/bin、/sbin、/System とかを直接参照や起動かけたりするようなアプリはダメってことになるらしい。


で。困るのが・・・

/usr/opt や/usr/local なんかで自前buildをやってる人々。(私もそう) /usr/localはrootless対象外のようで、普通にシェルから実行したり、Scriptで実行する分には問題ない。しかし、アプリが/usr下のコマンド(Sy.LINK含む)を呼ぶような場合はN.G.になってしまうわけだ。各種のフロントエンドや、XQuartzを起動するWINEやGIMPもダメかも。


幸い rootless を無効にする方法は用意されている。

[Command]+[R]でRecoveryパーティッションから起動。→Utilities→Security Configuration

□Enforce System Integrity Protection をチェック外して「Apply」→再起動

Eeee

追記:Security Configurationメニューはなくなったようです。ターミナルでやるしかないようです。
>csrutil disable   で切、
>csrutil enable   で入

TrimやX window(XQuartz)の起動チェックを行うアプリ、Finder拡張ユーティリティなどで影響があるらしい。例えばTeXアプリで、GUIが/usr 下のTeXbinaries(のsymbolic link)を参照してる場合などだ。対応策は/usr ではなく rootless対象外の/Library 下を参照するようにlink場所を変更すれば解決できるようだ。

XQuartz(X-Window)の場合、/opt/X11に実体、/usr/X11にsymbolic linkがあり、X11アプリは/usr/X11側を参照する。これがEl CapitanではN.G.になるわけだ。 ルールを変えて/Library/X11 にlinkをおくなどしないといけないのかもしれないねぇ・・・

|

« 夏の収穫 | トップページ | アボカドの発芽 »

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: rootless:

« 夏の収穫 | トップページ | アボカドの発芽 »