SIP komplett und dauerhaft deaktivieren unter macOS Big Sur.

  • Hey,


    mit welchem achtstelligen Wert kann ich SIP permanent deaktivieren unter Big Sur?

    Hat den wer im Kopf? Hatte bei YT 67000000 gefunden, das scheint aber nicht korrekt zu sein.


    Danke und viele Grüße,

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

  • Hey, super!


    DANKESCHÖN für die Info! :-)

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

  • Aber daran denken, dass dann keine MacOS-Updates angeboten werden!

  • Besser als die SIP einfach mal komplett zu deaktivieren wäre es den Wert für die csr-active-config passend zu dem zu wählen was man erreichen möchte ;) Der Wert FF0F0000 deaktiviert zwar die SIP vollständig (inkl. Authenticated Root) allerdings zu dem Preis das man dann auch keinen System Updates mehr angeboten bekommt. Die Fragestellung an der Stelle muss also vielmehr lauten was will ich mit dem deaktivieren der SIP eigentlich erreichen und welche weniger aggressiven Einstellungen kann ich ggf. wählen um das zu erreichen?

  • Ich nutze die Software SoftRAID, eine RME-PCIe Audiokarte sowie eine UAD TB Box.

    Weder Software nur Treiber für die beiden Audiodinge konnte ich installieren.

    Kann man ja normalerweise manuell unter Sicherheit & Datzenschutz "erlauben"

    wenn dem OS das nicht verfiziert genug ist. Ploppte aber kein Fenster zu auf.


    Auf einem anderen Rechner habe ich nur SoftRAID und keine zusätzliche Hardware.

    Nix zu machen.


    Der Support von SoftRAID schrieb heute nacht:



    "uninstall SoftRAID" from the volumes menu (click on your boot volume)
    Paste each command below into the terminal.app:

    sudo rm -r /Library/Extensions/hp_io_enabler_compound.kext
    sudo rm -r /Library/Extensions/daspi.kext
    sudo rm -r /Library/Extensions/DymoUsbPrinterClassDriver.kext
    sudo kmutil clear-staging
    sudo kextcache -i /


    Vor Neustart erschienen plötzlich die Volumes unter SoftRAID.

    Nach Neustart waren sie wieder weg.



    Viele Grüße,



    restart. Run SoftRAID, install the driver and before you restart, go to System Preferences/Security and "Allow" OWC as an identified developer.

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

  • Okay aber das hat weniger mit der SIP und mehr mit dem Gatekeeper zu tun was Du da beschreibst. Das Installieren von Drittanbieter Extensions ist nämlich durchaus auch mit komplett aktiver SIP möglich bzw. ist es von Apple genau so auch vorgesehen nur signiert müssen sie dann halt sein. Die Abfrage nach dem erlauben wird über den Gatekeeper getriggert allerdings nur dann wenn der auch aktiv ist (unter Einstellungen -> Sicherheit ist der Punkt Apps Download erlauben von Überall nicht vorhanden). Für Deinen angedachten Zweck ist es jedenfalls nicht notwendig die SIP komplett zu deaktivieren sondern es würde vermutlich schon reichen unsignierte Extensions zu erlauben. Ich fahre bei mir mit dem Wert 67F00000 was folgender Einstellung entspricht:


    Code
    1. CSR_ALLOW_EXECUTABLE_POLICY_OVERRIDE
    2. CSR_ALLOW_UNAPPROVED_KEXTS
    3. CSR_ALLOW_UNRESTRICTED_NVRAM
    4. CSR_ALLOW_UNRESTRICTED_DTRACE
    5. CSR_ALLOW_APPLE_INTERNAL
    6. CSR_ALLOW_KERNEL_DEBUGGER
    7. CSR_ALLOW_TASK_FOR_PID
    8. CSR_ALLOW_UNRESTRICTED_FS
    9. CSR_ALLOW_UNTRUSTED_KEXTS


    Erlaubt mir alles was ich benötige schränkt aber die Möglichkeit zum Beispiel Updates zu erhalten in keinster Weise ein.

  • Ich denke, Du brauchst keine Änderung der SIP, sondern nur die Möglichkeit, den Gatekeeper abzustellen. Und das geht mit einem einfachen Terminal-Befehl, der auch irgendwo im Entwickler-Handbuch versteckt ist: mit

    Code
    1. sudo spctl --master-disable

    wird der Gatekeeper abgestellt, kann aber auch ohne weiteren Rückgriff auf Terminal wieder eingeschaltet werden: unter "Systemeinstellungen/Sicherheit/Allgemein" ist der dritte Punkt "Überall" wieder da, ganz unabhängig von irgendwelchen Einstellungen des Booters.



    Zum Umschalten darf man dann natürlich das Schloß mit dem Passwort nicht vergessen.

    Bei mir bleibt es auf "Überall", denn die normale Abfrage des Passwortes wird damit nicht abgestellt.

    Also ganz einfach, und völlig egal, welche Einstellungen für die SIP im Booter stehen.


    :hackintosh:

  • Wow, und schon Problem dauerhaft gelöst! Vielen lieben Dank!!!!!!!!


    :-)

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System