如何禁用系统完整性保护（以及为什么不应该这样做）

每个新版Apple桌面操作系统似乎都对用户施加了更多限制。系统集成保护（或简称SIP）可能是迄今为止最大的更改。

在OS X 10.11 El Capitan中引入的SIP限制了用户修改某些文件夹的能力。虽然某些人谴责Apple最新的安全技术是一种从用户手中夺走控制权的手段，但它的存在是有充分理由的。

完全没有理由禁用它（但是我们将向您展示如何做到这一点。

什么是系统完整性保护？

SIP是一项安全功能，旨在保护操作系统中最易受攻击的部分。简而言之，它甚至可以防止具有root访问权限的用户（通过 sudo 命令）修改主分区上的某些位置。就像Gatekeeper先前对软件的限制一样，这是为了确保Mac用户的安全。

这可能是对Mac恶意软件威胁不断增加（使您的Mac处于危险状态）的一种反应。与苹果依靠“我是Mac，我是PC"广告系列的时代相比，Mac现在是恶意软件的更大目标。不难发现针对苹果平台的勒索软件，间谍软件，键盘记录程序或普通的旧广告软件。 / code>， / bin ， / sbin ， / usr （但不是 / usr / local ）。来自 / etc ， / tmp 和 / var 的某些符号链接也受到保护，尽管目标目录本身不受保护。安全措施可防止没有足够特权的进程（包括具有root用户访问权限的管理员用户）写入这些文件夹和其中存储的文件。

该技术还可以防止其他“危险"操作，例如代码注入。苹果公司担心对系统这些部分的更改可能会使Mac面临风险，并导致操作系统损坏。锁定root管理员访问权限可保护您的Mac免受远程和本地执行的sudo级命令的攻击。<

为什么要禁用它？

首次引入此功能时，某些应用程序需要修改某些受保护的系统文件夹或文件不再起作用。通常，这些都是相当“侵入性"的修改，可以更改许多核心OS元素和第一方应用程序运行的方式。某些备份和还原工具以及专门处理其他设备行为的应用程序也受到影响。

如果您要使用依赖于此类修改才能工作的软件，则必须首先禁用SIP。如果某个应用缺少必需的特权，则无法对其进行例外处理。这导致人们猜测，这种变化将影响较小的开发人员，这些开发人员缺乏与Apple合作以确保其软件继续运行的方法。

虽然这可能是事实，但许多最初并不适用的应用程序到目前为止，El Capitan的工作已被重写为这样做。调酒师就是这样一个应用程序，它提供了一种整理Mac菜单栏图标的方法。原始Bartender仅适用于OS X 10.10及更低版本，而Bartender 2适用于El Capitan及更高版本。 “默认文件夹X"是另一个设计，旨在增强“打开"和“保存"对话框，必须为El Capitan及更高版本完全重写该对话框。现在它可以完美运行了。

并不是所有的应用程序都经过了完全的重写，有些仍然需要禁用SIP才能运行。幸运的是，这通常是临时性的安排，例如Winclone。此Boot Camp克隆和备份解决方案要求用户禁用SIP才能写入驱动器的受保护区域。之后可以再次启用该功能。

SwitchResX is another such app that requires SIP to be disabled. It provides enhanced control over external displays, which relies on a specific resolution being specified in a protected file. Once the display has been configured, the user can restore SIP until they need to make another change. Other apps like XtraFinder (and many more applications that change the appearance and functionality of Finder) require the feature be enabled with a code injection workaround (using the command csrutil enable --without debug).

由于更改，某些应用程序已完全停止开发。其他人则建议用户暂时仅禁用SIP，然后再次重新启用它。在购买之前，这里的关键是要让厌倦了会修改系统外观或行为的应用程序，内置应用程序或功能（例如Finder，Spotlight或扩展坞）。在大多数情况下，快速的Google搜索或浏览FAQ就足够了。