X

System Integration Protection - SIP là gì?

10.08.2020   7163 lượt xem

Khi sử dụng MacOS bạn muốn cài ứng dụng từ bên thứ 3 đều yêu cầu bạn phải tắt SIP đi thì mới có thể cài đặt được. Vậy SIP là gì?? Nó có tác dụng gì, vì sao lại phải tắt?? Bài viết này của HNMAC sẽ giúp bạn giải đáp thắc mắc này.

1. System Integration Protection - SIP là gì?

SIP là một tính năng bảo mật được thiết kế để bảo vệ các phần dễ bị tấn công nhất trong hệ điều hành. Tóm lại, nó ngăn cản ngay cả một người dùng có quyền truy cập root (bằng lệnh sudo) khỏi việc sửa đổi các vị trí nhất định trên phân vùng chính. Có nghĩa là nó được tạo ra để giữ cho người dùng MacOS an toàn, giống như các hạn chế phần mềm trước đó được giới thiệu bởi Gatekeeper.

Đây có thể là một biện pháp ứng phó với số lượng ngày càng tăng của các mối đe dọa từ phần mềm độc hại. MacOS hiện giờ là có thể chưa là mục tiêu lớn đối với các phần mềm độc hại nhưng ta vẫn nên đề phòng. Không khó để tìm các phần mềm ransomware, malware, virus, spyware, keylogger hoặc phần mềm quảng cáo cũ đơn giản nhắm vào nền tảng của Apple.

SIP bảo vệ một vài khu vực cốt lõi của ổ đĩa nơi hệ điều hành được cài đặt, bao gồm /System, /bin, /sbin, /usr (chứ không phải /usr/local). Một số liên kết tượng trưng từ /etc, /tmp, và /var cũng được bảo vệ, mặc dù các thư mục đích thì không. Các biện pháp an toàn ngăn chặn các quy trình không có đủ đặc quyền (bao gồm cả người dùng quản trị có quyền truy cập root) ghi vào các thư mục này và các file được lưu trữ bên trong.

Công nghệ này cũng ngăn chặn các hoạt động “rủi ro” khác. Apple lo ngại rằng những thay đổi được thực hiện trên những phần này của hệ thống có thể khiến máy Mac của bạn gặp rủi ro và gây thiệt hại cho hệ điều hành. Việc khóa quyền truy cập quản trị viên gốc bảo vệ máy Mac khỏi các lệnh cấp sudo được thực hiện từ xa và cục bộ.

2. Lý do người dùng muốn vô hiệu hóa SIP

SIP làm một số ứng dụng dựa vào việc sửa đổi các thư mục hoặc file hệ thống được bảo vệ nhất định không còn hoạt động nữa. Theo quy định của táo cắn dở, đây là những sửa đổi mang tính “xâm nhập”, làm thay đổi cách thức hoạt động của nhiều yếu tố cốt lõi của hệ điều hành và các ứng dụng của bên thứ nhất.

Một số công cụ sao lưu và khôi phục nhất định và các ứng dụng được xử lý cụ thể thông qua hoạt động của các thiết bị khác cũng bị ảnh hưởng.

Vậy lý do vì sao người dùng muốn tắt SIP chỉ đơn giản như mình đã nói trên tiêu đề: để cài phần mềm của bên thứ 3. Nếu bạn muốn sử dụng phần mềm phụ thuộc vào việc sửa đổi để hoạt động, bạn sẽ phải tắt SIP trước tiên. Không có cách nào để tạo ngoại lệ cho một ứng dụng nhất định nếu ứng dụng đó thiếu các đặc quyền bắt buộc.

Điều này đã dẫn đến suy đoán rằng sự thay đổi sẽ ảnh hưởng đến các nhà phát triển nhỏ hơn, những người thiếu phương tiện làm việc với Apple để đảm bảo phần mềm của họ tiếp tục hoạt động.

Chỉ vì cái SIP này, một số ứng dụng hay ho trên MacOS đã phải ngừng phát triển hoàn toàn. Những ứng dụng khác chỉ vô hiệu hóa SIP tạm thời, sau đó kích hoạt lại. Cái chính ở đây là rất phiền phức khi các ứng dụng khi phải sửa đổi giao diện hoặc hành vi của hệ thống hoặc tính năng tích hợp (như Finder, Spotlight hoặc dock), trước đưa tới tay người tiêu dùng. Phần lớn tìm kiếm nhanh của Google hoặc lướt qua các câu hỏi thường gặp vẫn đủ dùng.

2.1 Cách vô hiệu hóa SIP

Nếu bạn quyết định tắt SIP, hãy cứ yên tâm rằng máy Mac của bạn vẫn an toàn vì còn vài lớp bảo mật nữa cơ. Bạn vẫn sẽ cần cung cấp quyền truy cập root để ghi vào các khu vực nhất định của ổ đĩa hoặc yêu cầu quyền quản trị. Bạn cũng có thể bật lại SIP dễ dàng nếu bạn quyết định thực hiện việc này sau đó.

Để vô hiệu hóa SIP, bạn thực hiện như sau:

  • Tắt máy, đợi máy tắt hẳn khoảng 10s
  • Với máy Mac Intel - giữ tổ hợp “Command + R” cho đến khi xuất hiện logo Apple
  • Với máy Mac M1 - Nhấn giữ nút nguồn cho tới khi hiện "Loading Startup Options" thì nhả ra, chọn Option rồi bấm Continue
  • Khi đã vào được Recovery Mode, trên thanh Menu:
  • Chọn “Utilities > Terminal”

Giao diện Terminal hiện lên, bạn nhập vào dòng code - “csrutil disable” sau đó gõ Enter

Vậy là xong, Restart lại máy và Login vào tài khoản Admin, bạn có thể dễ dàng kích hoạt lại SIP bằng cách khởi động lại vào Recovery Mode, khởi chạy Terminal và gõ “csrutil enable”, sau đó nhấn Enter.

2.2 Vậy có nên tắt SIP hay không??

Đây là một câu hỏi khó và mình không trả lời được. Vì nó tùy thuộc vào nhu cầu của người dùng, thích bảo mật thì bật. Như mình thì thích vọc vạch nghịch linh tinh, không thích bị Apple kiểm soát nên mình toàn tắt SIP đi cho khỏe (máy của mình thì mình phải có full toàn bộ quyền sử dụng chứ, thích làm gì thì làm).

Cơ chế của SIP là bảo vệ máy của bạn khỏi những can thiệp không cần thiết. Đó là một tính năng bảo mật xuất hiện khi người dùng Macbook đối mặt với mối đe dọa phần mềm độc hại ngày càng tăng của MacOS.

Có thể bạn sẵn sàng tận dụng cơ hội và tắt SIP. Có lẽ bạn không muốn Apple ra lệnh cho những gì bạn có thể và không thể thay đổi. Một ứng dụng có thể yêu cầu tắt SIP, hoặc bạn là người thích tinh chỉnh hệ thống. 

Có rất ít lý do để tắt tính năng này trừ phi thật cần thiết. Nhưng bạn hãy nhớ rằng, cài đặt lại MacOS có khả năng bật lại tính năng này. Cũng có khả năng Apple sẽ tiếp tục giới thiệu các tính năng bảo mật và kiểm soát quyền với mỗi bản phát hành MacOS mới.

Cảm ơn các bạn đã theo dõi bài viết. Nếu có bất cứ câu hỏi nào hãy để lại ở bên dưới phần bình luận nhé!!

HNMac.vn
 

5 điểm / 1 bầu chọn

Bài viết khác

Chat Facebook
Chat Facebook
Call: 097.772.8880