시스템 무결성 보호
개발자 | 애플 |
---|---|
운영 체제 | macOS |
상태 | 가동 중 |
웹사이트 | developer |
시스템 무결성 보호(System Integrity Protection, SIP[1], 종종 '루트리스'(rootless)로 불린다[2][3])는 OS X 엘카피탠에서 처음 선보인 애플의 macOS 보안 기능이다. 시스템 무결성 보호는 커널의 여러 메커니즘으로 움직인다. 시스템 무결성 보호의 주요 특징은 시스템이 소유한 시스템 파일과 시스템 디렉터리를 특정한 자격 없이 수정할 수 없게 보호하는 것이다. 심지어, 슈퍼유저거나 혹은 sudo 명령어를 받아서라도 말이다. 이로 인해서 루트리스란 별칭이 붙게 되었다.
애플측은 루트 유저가 시스템 보안에 있어서 충분한 위험 요인이 있다고 설명하고 있다. 특히, 한 사용자 계정이 관리자 계정도 점유하는 경우에 특히 그렇다는 것이다. 시스템 무결성 보호는 기본으로 설정되어 있으나, 복구 모드에서 끌 수 있다.[4][5]
기능
시스템 무결성 보호는 다음과 같은 메커니즘으로 이뤄진다:
- 시스템 파일과 디렉터리의 컨텐츠 보호와 더불어 파일 시스템 권한 보호
- 코드 인젝션으로부터 프로세스 보호, 실시간 결합(디버깅 같이) 및 DTrace
- 서명되지 않은 커널 모듈(*.kext)로부터의 보호
시스템 무결성 보호는 플래그가 붙은 시스템 파일과 디렉터리를 보호한다. 이는 또한 확장 파일 속성을 파일 혹은 디렉터리, /System/Library/Security/rootless.conf
혹은 양쪽 다 붙인다. 여기에 포함되는 보호받는 디렉터리는 다음과 같다: /System
, /bin
, /sbin
, /usr
(예외로 /usr/local
은 제외된다.).[6] /etc
, /tmp
and /var
to /private/etc
, /private/tmp
and /private/var
로부터의 심볼릭 링크도 또한 보호받으나, 목표 디렉터리는 보호받지 않는다. 또한 /Applications
폴더에 미리 설치된 애플 소프트웨어도 포함된다.[1]
설정
시스템 무결성 보호는 시스템 파티션 바깥에서 부분적이나 혹은 전체적으로 해제할 수 있다. 이를 위해 애플에서는 csrutil
콘솔 명령어를 맥의 복구 영역 혹은 부팅 인수를 추가한 NVRAM의 부팅가능한 macOS 부팅 미디어의 터미널에서 실행하도록 해놓았다. 이 설정은 엘 케피탄과 macOS 시에라가 설치된 맥에서 설정 가능하다.[4]
같이 보기
각주
- ↑ 가 나 Cunningham, Andrew; Hutchinson, Lee (2015년 9월 29일). “OS X 10.11 El Capitan: The Ars Technica Review”. 《Ars Technica》. 2015년 9월 29일에 확인함.
- ↑ Cunningham, Andrew (2015년 6월 17일). “First look: OS X El Capitan brings a little Snow Leopard to Yosemite”. 《Ars Technica》. 2015년 6월 18일에 확인함.
- ↑ Slivka, Eric (2015년 6월 12일). “OS X El Capitan Opens Door to TRIM Support on Third-Party SSDs for Improved Performance”. 《MacRumors》. 2015년 6월 18일에 확인함.
- ↑ 가 나 Martel, Pierre-Olivier (June 2015). “Security and Your Apps” (PDF). 《Apple Developer》. 8–54쪽. 2016년 4월 23일에 원본 문서 (PDF)에서 보존된 문서. 2016년 9월 30일에 확인함.
- ↑ “Configuring System Integrity Protection”. 《Mac Developer Library》. Apple. 2015년 9월 16일. 2016년 8월 17일에 원본 문서에서 보존된 문서. 2016년 9월 30일에 확인함.
- ↑ “About System Integrity Protection on your Mac”. 《Apple Support》. 2016년 5월 30일. 2016년 3월 20일에 원본 문서에서 보존된 문서. 2016년 9월 30일에 확인함.