csr-active-config (SIP) OPEN CORE 0.6.5 Big Sur 11.1

  • Hallo zusammen,


    ich habe jetzt schon hin und her gesucht aber komme nicht zu nem richtigen Ergebnis.


    Ich habe das Problem das ich nicht so recht weiß welchen Wert ich für den Parameter

    csr-active-config in Opencore eintragen soll.

    Ich bekomme im Terminal dann immer das Ergebnis :


    für FF0F0000


    System Integrity Protection status: unknown (Custom Configuration).


    Configuration:

    Apple Internal: enabled

    Kext Signing: disabled

    Filesystem Protections: disabled

    Debugging Restrictions: disabled

    DTrace Restrictions: disabled

    NVRAM Protections: disabled

    BaseSystem Verification: disabled


    This is an unsupported configuration, likely to break in the future and leave your machine in an unknown state.




    Ist das ggf. normal mit dem Status unknown und unsupported?


    Welcher Wert ist empfehlenswert?


    Dank vorab.

    LG

    René


    Gigabyte Z490 Vision G| i9 10850k | 32GB | Vega64 8GB | NVMe 1TB | macOS 12.3 Open Core 0.8.x

  • Ist normal, bei mir kommt:


    System Integrity Protection status: unknown (Custom Configuration).


    Configuration:

    Apple Internal: disabled

    Kext Signing: disabled

    Filesystem Protections: disabled

    Debugging Restrictions: disabled

    DTrace Restrictions: disabled

    NVRAM Protections: disabled

    BaseSystem Verification: enabled


    This is an unsupported configuration, likely to break in the future and leave your machine in an unknown state.



    Ich habe übrigens 67F00000 eingetragen. Habe ich in einem Beitrag von griven (thx!) gesehen und mir abgeschaut. ;)

    iMacPro1,1: MSI Z590-A PRO | i5-11400 @ 2,60 GHz | 64 GB DDR4 | Sapphire Pulse Radeon RX 580 8 GB | WD Black SN850 NVMe 1 TB + Crucial CT1000MX500SSD1 SSD 1 TB + Crucial CT500MX500SSD1 SSD 500 GB | macOS Sonoma 14.4 Beta 1 (23E5180j) | OpenCore 0.9.7

  • Blackninja_1985 ohne einen triftigen Grund sollte man da eigentlich am allerbesten gar nichts eintragen sprich die SIP einfach aktiviert und ihren Dienst verrichten lassen denn am langen Ende ist das ein Schutz der dazu da ist das System gegen äußere Einflüsse zum Beispiel durch Malware zu härten. Unter normalen Umständen besteht auch kaum ein Grund die SIP ganz oder in teilen zu deaktivieren denn sie beeinträchtigt uns in keiner Weise (alles was für den Betrieb von macOS auf unseren Kisten nötig ist passiert eh an der SIP vorbei bzw. bevor das System überhaupt weiß das es eine SIP besitzt). Natürlich gibt es gute Gründe warum man zum Beispiel auch temporär Zugriff auf bestimmte Dinge benötigt die von der SIP geschützt werden hier sollte man dann aber gezielt auch nur deaktivieren was wirklich nötig ist (ein Beispiel das wäre hier etwa adguard welches zumindest bis vor kurzem noch eine bestimmte Extension installieren wollte um zu funktionieren was durch die SIP verhindert wurde, ein anderes Beispiel wäre die Entwicklung von Kernelextensions die zu test und debugging Zwecken geladen werden müssen ohne das dazu jedesmal eine Signatur notwendig wäre). Wie so oft im Leben also abhängig davon was man benötigt ;)


    Wenn man genau sehen möchte welche Bestandteile die SIP hat und in welche Werte sie sich aufschlüsseln kann man sich mal das Tool CSRDecode von corpnewt ansehen (https://github.com/corpnewt/CsrDecode) ist recht praktisch ;)

  • griven

    Ich z.B. benötige eigentlich nur eine SIP-Config, mit der der TotalFinder funktioniert. Ich habe probiert:

    00020000 (CSR_ALLOW_UNAPPROVED_KEXTS - 0x200)

    und

    08000000 (CSR_ALLOW_KERNEL_DEBUGGER - 0x8)

    aber keines der beiden funktioniert.

    Macht es Sinn, weiterzuprobieren, also Kombinationen aus den beiden und CSR_ALLOW_UNTRUSTED_KEXTS - 0x1 zu testen? Oder lasse ich lieber 67F00000? ;)

    Danke!


    Nachtrag:

    Wobei ich eigentlich auch auf den TotalFinder verzichten könnte. Tabs bietet der Finder ja schon seit Längerem und was "Ausschneiden - Einfügen" betrifft, so sollte ich mich wohl endlich an cmd+C und cmd+alt+V gewöhnen...

    iMacPro1,1: MSI Z590-A PRO | i5-11400 @ 2,60 GHz | 64 GB DDR4 | Sapphire Pulse Radeon RX 580 8 GB | WD Black SN850 NVMe 1 TB + Crucial CT1000MX500SSD1 SSD 1 TB + Crucial CT500MX500SSD1 SSD 500 GB | macOS Sonoma 14.4 Beta 1 (23E5180j) | OpenCore 0.9.7

  • Okay vielen Dank für die schnellen Antworten:)


    Um sie aktiv zu lasen einfach nichts bzw. Nullen eintragen richtig?

    LG

    René


    Gigabyte Z490 Vision G| i9 10850k | 32GB | Vega64 8GB | NVMe 1TB | macOS 12.3 Open Core 0.8.x

  • Okay vielen Dank für die schnellen Antworten:)


    Um sie aktiv zu lasen einfach nichts bzw. Nullen eintragen richtig?

    Ja, 00000000

    iMacPro1,1: MSI Z590-A PRO | i5-11400 @ 2,60 GHz | 64 GB DDR4 | Sapphire Pulse Radeon RX 580 8 GB | WD Black SN850 NVMe 1 TB + Crucial CT1000MX500SSD1 SSD 1 TB + Crucial CT500MX500SSD1 SSD 500 GB | macOS Sonoma 14.4 Beta 1 (23E5180j) | OpenCore 0.9.7

  • RealZac ich nutze den TotalFinder nun selbst nicht könnte mir aber vorstellen das der sich damit zufrieden gibt wenn man CSR_ALLOW_UNRESTRICTED_FS aus der SIP nimmt und den Rest aktiv lässt. Von der Logik her müsste der passende Eintrag also 02000000 lauten um das zu erreichen Du kannst aber guten Gewissens auch bei der 067F0000 bleiben denn ich gehe mal davon aus das Du nicht leichtfertig irgendwas oder irgendwem Deinen administrativen Segen durch die Eingabe Deines Passworts erteilst ;)

  • griven Danke! Ich teste die 02000000 mal und wenn die nicht funktioniert oder wider Erwarten doch noch andere Problemchen um's Eck kommen, lasse ich die 67F00000. Btw.: Hast du dich verschrieben, oder meinst du tatsächlich 067F0000?

    Und du hast natürlich Recht: Meinen administrativen Segen erteile ich nur spärlich und gut überlegt. ;)

    iMacPro1,1: MSI Z590-A PRO | i5-11400 @ 2,60 GHz | 64 GB DDR4 | Sapphire Pulse Radeon RX 580 8 GB | WD Black SN850 NVMe 1 TB + Crucial CT1000MX500SSD1 SSD 1 TB + Crucial CT500MX500SSD1 SSD 500 GB | macOS Sonoma 14.4 Beta 1 (23E5180j) | OpenCore 0.9.7

  • Da habe ich mich tatsächlich verschrieben es muss natürlich die 67F00000 sein...