OS X El Capitan: Implementación de Rootless

Con Rootless, Apple ha decidido que hay ciertas cosas que nunca deben ser permitidas para el software de terceras partes. En cierto modo, se está llevando a OS X un paso hacia el tipo de protección que vemos en iOS: el software de terceras partes tiene un comportamiento altamente restringido. De hecho, Apple ya ha dado muchos pasos a este respecto forzando a que las aplicaciones que se venden a través de su tienda estén encuadradas bajo sandbox que impide que puedan acceder fuera de su entorno, pero quiere hacer más, ya que es factible instalar aplicaciones fuera de su entorno, ya estén firmadas por el desarrollador o no. Incluso hay malware firmado, ya que el “listo” de turno ha robado una tarjeta de crédito, ha creado una cuenta falsa de desarrollador, ha firmado la aplicación y aunque esta no provenga de la App Store, pasa el filtro ya que la aplicación está firmada por un desarrollador autorizado por Apple y por lo tanto Gatekeeper (el sistema que utiliza OS X para contrastar los certificados de una aplicación que se va a ejecutar por vez primera) no tiene nada que decir al respecto.

Rootless hace que ciertas operaciones solamente sean permisibles para el código de Apple (según lo determinado por la firma de código), por lo que el código de terceras partes, incluso si se está ejecutando bajo la cuenta de root o respaldado por la contraseña del administrador, no pueda hacer ciertas cosas, como por ejemplo, modificar el sistema (/System) ni su Library adicional, inyectar procesos del sistema utilizando daemons y más que se irá descubriendo conforme vayamos pudiendo acceder a betas más modernas de OS X El Capitan.

Más en: Qué es Rootless y cómo me beneficia

Rootless, como servicio de seguridad, está integrado profundamente en el sistema y su activación o desactivación depende de la nvram. La memoria de acceso aleatorio no volátil, referida a veces por sus siglas en inglés NVRAM (Non-volatile random access memory) es un tipo de memoria de acceso aleatorio que, como su nombre indica, no pierde la información almacenada al cortar la alimentación eléctrica. En el caso del Mac, define una porción de memoria en la que se almacenan una serie de parámetros de inicio para el Mac que no solo se aplican al hardware del dispositivo en función de las elecciones hechas por el usuario, sino también a ciertas configuraciones del comportamiento del sistema como es el caso, por ejemplo, de la activación o desactivación de la protección de extensiones de Kernel por firmado o como es en nuestro caso, la activación de Rootless.

Este parámetro puede configurarse utilizando el Terminal y pasando el parámetro directamente a la nvram:

sudo nvram boot-args="rootless=0"

Si queremos volver a activar la protección, entonces usaremos:

sudo nvram boot-args="rootless=1"

Apple, cuando actualiza el sistema, generalmente revierte ciertos parámetros de la nvram a su estado original, por lo que después de aplicar una actualización mayor del sistema es factible que haya que volver a desactivar la protección.

En el caso de la desactivación del firmado de las extensiones de Kernel, ocurre que al actualizar el sistema y reactivarse este firmado, el sistema no puede arrancar debido a que hemos modificado las mismas con aplicaciones de terceras partes (el caso de TRIM Enabler es muy común) pero habrá que ver si en el caso de Rootless ocurre lo mismo, es decir, hemos desactivado este sistema de seguridad, hemos modificado los archivos intocables del sistema  y al actualizar, OS X El Capitan contrasta estos cambios e impide el correcto arranque de OS X, obligándonos a hacer una reinstalación encima del sistema para sustituir-eliminar los archivos modificados.

0 0 votos
Article Rating
Subscribe
Notify of
2 Comments
Oldest
Newest Most Voted
Opiniones Inline
Ver todos los comentarios
sault
8 years ago

Supongo que al actualizar se mata el invento. Lo que sí puedo garantizar es que volver a activarlo, después de forzar el trim, éste continúa funcionando.

Firichi
Firichi
8 years ago

MUCHAS Gracias, justo lo que estaba buscando.
Como siempre, muy oportunos 🙂

2
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x