Rootfol désactive la protection SIP d’El Capitan si Apple veut bien
Avec OS X El Capitan, Apple a encore renforcé la sécurité de son système d’exploitation en ajoutant une couche de protection supplémentaire, nommée System Integrity Protection. Désormais, même en utilisant les pouvoirs du compte root (dans un système UNIX traditionnel, l’utilisateur root peut tout faire), on ne peut pas modifier les dossiers utilisés par le système (lire : La signature obligatoire des kexts d’El Capitan a été contournée). C’est une excellente chose pour la majorité des utilisateurs — un malware ne peut plus faire de mal même avec le mot de passe administrateur —, mais le SIP pose problème pour les développeurs.
Il existe bien une méthode pour désactiver SIP, mais elle implique de redémarrer le Mac et elle n’est pas permanente, puisque la protection est réactivée à chaque mise à jour. Un développeur a néanmoins trouvé une solution beaucoup plus simple, puisqu’elle permet d’activer et désactiver SIP à la demande, sans redémarrer le Mac. Mieux, Rootfol, c’est son nom, n’utilise que des fonctions conçues par Apple, ce n’est pas un hack du système.
Malheureusement, son bon fonctionnement est conditionné par un impératif qui empêche toute utilisation large et simple. Pour que Rootfol puisse désactiver SIP, il doit modifier le noyau d’OS X. Et cette opération sensible n’est possible qu’avec un certificat spécial délivré uniquement par Apple. Tous les développeurs peuvent en demander un, mais apparement le constructeur étudie très soigneusement les demandes et ne délivre que très peu d’autorisations.
Bref, à moins d’avoir une bonne raison de modifier le noyau d’OS X (par exemple, pour créer un pilote spécifique pour un matériel), vous ne pourrez pas utiliser Rootfol. Si vous avez besoin de désactiver SIP, il faudra redémarrer et passer par la partition de restauration. Nous avions évoqué la méthode dans ce précédent article et vous pouvez aussi tout connaître sur le SIP dans notre guide des nouveautés d’OS X El Capitan.
Un exemple d'application non-compatible SIP : Default Folder X.
Une future version 5 est annoncée comme compatible, mais elle ne devrait pas être disponible avant au plus tôt fin octobre.
Il doit y avoir d'autre utilitaires qui connaissent ce même problème, notamment les plugins du Finder et des autres applications Apple.
C'est un peu le risque quand on fait un plugin qui ne passe pas par des fonctions documentées, ça risque de casser à tout moment.
Si, effectivement, Default Folder X est "un plugin qui ne passe pas par des fonctions documentées", je suis tout à fait d'accord avec toi.
Cela n'empêche que c'est un plugin fort utile et qui me fait gagner un temps énorme chaque jour.
La future version 5 est annoncée comme compatible SIP.
On peut donc supposer qu'elle sera un peu plus conforme aux fonctions documentées que tu évoques.
@Fennec72 :
Oui Default Folder que j'utilise depuis Mac OS 8 ou 9!
Et FinderPop, c'est mort apparemment sans désactiver SIP.
Pour Default Folder X, il y a un gros espoir concernant ce qui est indiqué pour le développement en cours de la version 5:
http://www.stclairsoft.com/DefaultFolderX/el_capitan.html
Voir le dernier paragraphe:
"Version 5 of Default Folder X, which I began writing last year but had on the back burner until the beginning of the summer, uses completely different methods for implementing its features, and works well with El Capitan even with SIP turned on."
oui c'est un moindre mal.
FinderPop je l'utilise vraiment non stop je me rends compte.
Je viens de le désactiver pour voir et c'est terrifiant ce que je perds! :D
- Un menu contextuel avec une typo énorme
- Plus d'accès rapide pour ouvrir un fichier avec une app ouverte
- Plus possibilité de déplacer un fichier en un clic
- Accès rapide au contenu d'un bundle
- Plus d'accès en un clic à mes dossiers le plus usités!!!
et j'en passe
Comme c'est l'extension que j'installe en premier sur un mac depuis 1997 (!), je m'imagine pas bosser sans.
ça me fait penser qu'Apple devrait un peu revoir la fonction "Services" qui est vraiment pratique mais un peu trop enfouie, pas assez contextuelle, costumisable.
Pour ce que tu perds quand tu désactive FinderPop:
"- Un menu contextuel avec une typo énorme
- Plus d'accès rapide pour ouvrir un fichier avec une app ouverte
- Plus possibilité de déplacer un fichier en un clic
- Accès rapide au contenu d'un bundle
- Plus d'accès en un clic à mes dossiers le plus usités!!!
et j'en passe"
Je pense que si FinderPop n'était pas mis à jour pour El Capitan, il a Path Finder qui est à jour pour El Capitan et qui a sans doute quasiment les mêmes fonctions.
Ah moi ça m'intéresse pour changer les icones du système :)
Au final le SIP est une bonne chose pour assurer l'intégrité du système. C'est dommage qu'il ne soit pas possible de le désactiver d'une manière ou d'une autre pour ceux qui voudraient bidouiller.
Par contre je ne suis pas d'accord avec la formulation de l'article :
"C’est une excellente chose pour la majorité des utilisateurs — un malware ne peut plus faire de mal même avec le mot de passe administrateur"
C'est complètement faux. Un malware ne pourra plus modifier le système, mais il pourra toujours récupérer les données utilisateur, corrompre ses fichiers personnels, ou servir de relai pour des attaques par DDoS.
Le seul avantage de cette solution, c'est qu'elle empêche le malware de s'incruster trop profondément dans le système et elle simplifie donc le nettoyage du mac qui serait infecté.
"C'est dommage qu'il ne soit pas possible de le désactiver d'une manière ou d'une autre pour ceux qui voudraient bidouiller."
Apple indique la démarche pour désactiver SIP.
Un simple commande à taper dans le terminal depuis la partition de restauration.
Les bidouilleurs qui savent ce qu'ils font son capable d'effectuer cette manipulation.
J'essaie d'effacer des apps inutiles comme par exemple le jeu d'échecs ou le lecteur dvd mais l'OS me dit que je n'ai pas les droits requis
Est ce que ça vient de cette surcouche ?
"J'essaie d'effacer des apps inutiles comme par exemple le jeu d'échecs "
Il faut battre son Mac aux échecs pour avoir le droit de supprimer l'app.
Oui, c'est "normal" :
la liste des applications et des répertoires protégés est en système/Bibliothèque/Sandbox/rootless.conf
Bonjour
Appcleaner supprime sans problème
Les Apps jeux et autres
Ça empêche aussi de modifier le fichier hosts ?
C'est un scandale.
@iDanny :
Finalement après test, non ça n'empêche pas de modifier le fichier hosts :)
@ iDanny
LOL