El Capitan und die System Integrity Protection - Was ist das und wie kann ich es ändern?

  • Grundsätzlich bietet ein Hackintosh die selbe Sicherheit wie ein echter MAC wenn man die Rahmenparameter entsprechend wählt. Gerade beim Thema SIP heißt das so wenig wie möglich zu deaktivieren und so viel wie möglich nach der Installation wieder zu aktivieren. Mit anderen Worten nach der Installation des System wird die SIP wieder aktiviert (CloverConfigurator -> RTVariables -> CsrActiveConfig -> 0x00) und schon ist der Hackintosh genau so gut gesichert wie jeder MAC auch.

  • Merci Griven,
    ich hatte gedacht, dass der Wert 4D1FDA02-38C7-4A6A-9CC6-4BCCA8B30102 praktisch die HW definiert, damit man mit verschiedenen Rechnern booten kann. Einen ähnlichen Mechanismus findet man ja auch in /Users/<NAME>/Library/Preferences/ByHost auf jedem Mac. Wenn man z.B. verschiedene Rechner mit der selben externen Platte bootet, merkt sich OS X dort die jeweiligen Einstellungen anhand der UUID der Hardware.

    --
    May The Force Be With You...

  • QSchneider: beide Artikel sind interessant und fassen die Problematik ziemlich gut zusammen. Tatsächlich hat PikerAlpha vollkommen recht damit, dass es eine dumme Idee ist OS-X ohne aktivierte SIP zu betreiben denn schließlich dient dieses mächtige Werkzeug dazu das System vor äusseren Einflüssen zu schützen und das auf eine äusserst effektive Weise. Es gibt eigentlich auch gar keinen Grund die SIP abzuschalten bzw. im Falle eines Hackintoshes abgeschaltet zu lassen nachdem das System fertig installiert wurde denn von diesem Zeitpunkt an ist es eigentlich nicht mehr erforderlich irgendetwas an den Systemverzeichnissen zu verändern. Daher von mir die klare Empfehlung die SIP zu aktivieren sobald das System fertig installiert ist und auch aktiviert lassen es sei denn es muss nach einem Update zum Beispiel etwa die AppleHDA neu installiert werden. Interessanter in dem Zusammenhang ist auch der Artikel zum umgehen des Signaturzwangs für Extensions. Auf echten MAC´s sicher kein wirkliches Problem da hier eben nur der Apple eigene OS Loader zum Einsatz kommt und dieser wird den prelinked Kernel (KernelCache) nicht verändern anders sieht es aber auf Hackintoshes aus und für die ist diese Erkenntnis eher Segen als Fluch denn so wird es möglich das System mit minimalen Veränderungen an den SystemFiles zu starten was für uns nur gut ist. Ob hieraus ein Sicherheitsrisiko erwachsen mag möchte ich nicht abschließend beurteilen denn letztlich muss jeder für sich selbst entscheiden welche extensions aus welchen Quellen er verwendet und welche eben nicht. Eine generelle Angreifbarkeit aufgrund der Tatsache, dass sich dem System unsignierte Extensions unterjubeln lassen möchte ich aber ausschließen denn dazu müsste ein potentieller Angreifer sich die Mühe machen zum einen zu bestimmen welcher Bootloader zum Einsatz kommt und zum anderen auch noch den vermeidlichen Schadcode in den entsrechenden Verzeichnissen unterbringen alles in allem eher unwahrscheinlich.

  • Ich bekomme irgendwie immer eine Fehlermeldung, wenn ich die "untrusted kexts" zulassen möchte. Im SIPUtility, wie auch im Terminal.


    Hier mal das Terminal:
    Ich habe de Test von YogiBear probiert und der klappt. Beschreibbar ist das NVRAM also, war es bisher mit der Ozmosis 1479 auch beschreibbar.

    Code
    1. Mac:~ Benutzername$ sudo nvram 4D1FDA02-38C7-4A6A-9CC6-4BCCA8B30102:test=OK
    2. Password:
    3. Mac:~ Benutzername$ nvram 4D1FDA02-38C7-4A6A-9CC6-4BCCA8B30102:test
    4. 4D1FDA02-38C7-4A6A-9CC6-4BCCA8B30102:test OK
    5. Mac:~ Benutzername$ nvram 7C436110-AB2A-4BBB-A880-FE41995C9F82:csr-active-config=%03
    6. nvram: Error setting variable - '7C436110-AB2A-4BBB-A880-FE41995C9F82:csr-active-config': (iokit/common) general error
    7. Mac:~ Benutzername$


    Und hier der Fehler im SIPUtility nach Freigabe mit Password beim Befehl "Set":




    Was mache ich falsch?
    Ich habe bisher nur mit Ozmosis 1669 El Capitan installiert. Es ist auf dem neusten Stand. Kexte lassen sich mit neustem KextUtility nicht installieren, ist ja eigentlich auch klar, wenn SIP es verbietet.


    Hat jemand einen Tipp?

    Gigabyte Z87X-UD5H (Ozmosis 1669), 4770k, MSI N760 TF 2GD5/OC, 4x8GB Corsair Vengeance LP (1600MHz)
    OS: Windows 8.1 & El Capitan 10.11.2 (getrennte SSD's)
    Profs
    Bluetooth/WLAN PCIe-Karte (BT4.0/802.11n)

  • Das wird nicht klappen weder über das Terminal noch über das SIP Utility zumindest nicht so lange Du Dich bei aktivierter SIP in EL Capitan bewegst. Das Ganze wäre doch ziemlich nutzlos wenn es sich so einfach im laufenden Betrieb aushebeln ließe oder meinst Du nicht?

  • Naja stimmt schon. Gibt es denn einen Weg? Auf dem gleichen Rechner ist auf einer internen noch Yosemite. Oder geht das bei einem Clean-Install gar nicht?

    Gigabyte Z87X-UD5H (Ozmosis 1669), 4770k, MSI N760 TF 2GD5/OC, 4x8GB Corsair Vengeance LP (1600MHz)
    OS: Windows 8.1 & El Capitan 10.11.2 (getrennte SSD's)
    Profs
    Bluetooth/WLAN PCIe-Karte (BT4.0/802.11n)

  • Hallo,


    wie kann ich dann diese SIP (wieder) aktivieren, nachdem ich alles fertig installiert habe? Ist das dieses "rootless=0", das deaktiviert werden soll?


    Vielen Dank für die Antwort.

    El Capitan 10.11.5 (Clover 3599) – Gigabyte Z97X-UD5H F11b mod – Intel I7-4790k – MSI GTX 1070 Gaming X – Corsair Ballistix 16gb – 2x Samsung 850 Pro 128gb – 1x Samsung 850 Pro 256gb

  • rootless=0 ist depracted sprich dieser Flag macht gar nichts mehr....
    Bei deaktivierter SIP reicht ein

    Code
    1. csrutil enable

    im Terminal vollkommen aus um die SIP wieder scharf zu schalten.

  • Danke für die Antwort.


    Ich musste es aus dem Recovery OS angeben(csrutil: failed to modify system integrity configuration. This tool needs to be executed from the Recovery OS). Die SIS wurde aktiviert.


    Dann habe ich neu gestartet und die SIS ist trotzdem deaktiviert: System Integrity Protection status: disabled.


    Wieso?

    El Capitan 10.11.5 (Clover 3599) – Gigabyte Z97X-UD5H F11b mod – Intel I7-4790k – MSI GTX 1070 Gaming X – Corsair Ballistix 16gb – 2x Samsung 850 Pro 128gb – 1x Samsung 850 Pro 256gb

  • Du bootest über Clover...
    Schau mal in Deine config.plist in den Bereich RT-Variables da sollte es einen Eintrag namens CsrActiveConfig geben hier setzt Du den Wert auf 0x00 und die SIP ist wieder aktiv.

  • Es hat funktioniert, vielen Dank!Sollte ich die SIP nun deaktiveren, wenn ich irgendetwas installiere? Was geschieht, wenn sie aktiviert bleibt?Gute Nacht ;)

    El Capitan 10.11.5 (Clover 3599) – Gigabyte Z97X-UD5H F11b mod – Intel I7-4790k – MSI GTX 1070 Gaming X – Corsair Ballistix 16gb – 2x Samsung 850 Pro 128gb – 1x Samsung 850 Pro 256gb

  • Du wirst bei aktiver SIP schlicht nichts relevantes verändern können, demnach deaktivieren sofern KEXTE oder ähnliches installiert werden sollen.

  • Danke für die Erklärung!

    El Capitan 10.11.5 (Clover 3599) – Gigabyte Z97X-UD5H F11b mod – Intel I7-4790k – MSI GTX 1070 Gaming X – Corsair Ballistix 16gb – 2x Samsung 850 Pro 128gb – 1x Samsung 850 Pro 256gb

  • Möchte ebenfalls Griven für seine geniale Arbeit hier danken! Auch dank seines SIP Utilitys war die Installation sehr einfach für mich.

  • Hallo at all


    ich habe gerade das Update 10.11-2 installiert, lief alles super durch. Anschließend hat der Sound nicht mehr geklappt und ich wollte den Kext installieren, doch Pustekuchen, es läßt sich kein Kext installieren. Es scheint als ob die SIP aktivgeschaltet wurde.


    Aus dem laufendem System kann ich die nicht abschalten, was muss ich machen um die wieder auszuschalten??
    Bitte in DAUSPRACHE :danke:

    ____________________________________________________________________________________________________________________________________________
    :D :D Hackintosh :D :D
    Mainboard: Gigabyte GA-Z87X-UD4H, Prozessor: Intel® Core™ i5-4460 3,2 GHz, Audio: Realtek ALC898
    Ozmosis
    :whistling: Rechtschreibfehler dürfen behalten werden :whistling:

  • Hast du mal Grivens Utility ausprobiert? Ist am OP angehängt...

  • Das Tool funzt nicht :sleeping:


    Die SIT ist aktiv
    failed to modify system integrity configuration. This tool needs to be executed from the Recovery OS


    Und da weiß ich nichts mit anzufangen, oder was ich dort für Tastekombinationen drücken muss.

    ____________________________________________________________________________________________________________________________________________
    :D :D Hackintosh :D :D
    Mainboard: Gigabyte GA-Z87X-UD4H, Prozessor: Intel® Core™ i5-4460 3,2 GHz, Audio: Realtek ALC898
    Ozmosis
    :whistling: Rechtschreibfehler dürfen behalten werden :whistling:

  • Du kannst den SIP Status nicht aus dem laufenden ElCapitan heraus verändern was ja irgendwie auch logisch ist denn sonst wäre die SIP sinnlos. Wenn Du die SIP wieder deaktivieren möchtest boote entweder die Recovery Partition (BootMenu) oder aber in den Installer und öffne Dir dort ein Terminal. Hier gibst Du dann folgendes ein

    Code
    1. csrutil disable
    2. reboot

    und schon ist die SIP wieder deaktiviert und kann dann unter ElCapitan auch über das SIP Tool eingestellt werden (Sinn macht hier 0x03)...

  • Hallo griven,


    danke dir für die Info!


    Viele Grüße aus Essen nach Bochum


    Hier noch mal der DAU:


    Leider habe ich keine Recovery Partition, mit dem USB Stick von Lion konnte ich gar booten im Terminal habe ich allerdings nur eine Fehlermeldung erhalten das er mit dem Befehl nicht anfangen kann.
    Brauche ich einen USB Stick mit El-Capitan um


    csrutil disable


    ausführen zu können :?:


    Den baue ich mir gerade zusammen :help


    Kurze Info:


    Der Stick war die richtige Lösung, hat jetzt alles super geklappt, Sound ist auch wieder Daune beim nächsten Systemupdate stell ich mich nicht mehr so blöde an :thumbsup:

    ____________________________________________________________________________________________________________________________________________
    :D :D Hackintosh :D :D
    Mainboard: Gigabyte GA-Z87X-UD4H, Prozessor: Intel® Core™ i5-4460 3,2 GHz, Audio: Realtek ALC898
    Ozmosis
    :whistling: Rechtschreibfehler dürfen behalten werden :whistling:

    3 Mal editiert, zuletzt von harry.hirsch60 ()