Come abbiamo spiegato in questo articolo, il futuro OS X 10.11 El Capitan integra un nuovo meccanismo di difesa che impedisce a utenti e sviluppatori di terze parti di arrecare danni al sistema modificando file e cartelle riservate. Utenti poco esperti potrebbero fornire la password dell’utente amministratore ad applicazioni malevole e vanificare i meccanismi di protezione intrinseca del sistema. Con OS X 10.11 El Capitan, Apple limita alcuni potenziali danni che un utente potrebbe fare fornendo ad applicazioni sconosciute username e password dell’amministratore, impedendo la modifica di alcuni file e cartelle, in particolare: /System, /bin, /usr e /sbin. Gli sviluppatori devono “accontentarsi” di annidare file e cartelle in /Library, \~/Library, /usr/local e in /Applicazioni. Già da adesso chi non segue queste regole, farà bene ad aggiornare i suoi software, pena possibili incompatibilità con il futuro sistema.
Apple ha ad ogni modo previsto un meccanismo che consente all’amministratore di sistema, se necessario, di disabilitare alcune funzionalità di protezione. È utile, ad esempio, per sfruttare il nuovo comando “Trimforce enable” che ora consente anche con le unità SSD di terze parti di abilitare il TRIM direttamente dal Terminale.
Per disabilitare le funzionalità di protezione rootless integrate nel nuovo sistema operativo bisogna avviare il computer premendo i tasti cmd-r all’avvio, selezionare dalle utility di ripristino la voce “Utility” nel menu dedicato in alto, scegliere “Configurazione sicurezza”, deselezionare “Enforce System Integrity Protection”, cliccare su “Apply Coinfiguration” e attendere il riavvio.
Ovviamente come sempre è possibile impostare una password nel firmware, impedendo a sconosciuti di avviare il computer dal recovering e fare qualsiasi tipo di modifica, inclusa la possibilità di disattivare le protezioni rootless.
Apple ha fatto sapere che i file relativi alla SIP (System Integrity Protection), quando si disabilita la funziona dal recovering, appariranno come “ristretti” quando elencati usando il flag “-O” nel comando “ls” del Terminale ma questi potranno essere rinominati spostati, cancellati o modificati. Sarà disponibile un tool per la linea di comando per disabilitare il SIP nell’ambiente di Recovery, diverso dal tool disponibile nella GUI. Il tool nella GUI, di fatto, potrebbe anche sparire nelle prossime release beta di OS X, sostituito da un comando richiamabile dalla linea di comando.