[更新SIP配置方法简要说明] Apple SIP/Rootless安全技术介绍+测试分析及配置方法

风舞精魂1

楼主能不能说的详细一点，看不懂啊

风舞精魂1

Clover默认已经关闭了SIP体系中绝大部分的保护技术，包括解锁kext加载限制以及文件系统限制等，并可通过配置文件自由定制各项保护技术的开关

linzhouyu

风舞精魂1 发表于 2015-9-12 23:08
楼主能不能说的详细一点，看不懂啊

如果只需要知道关闭方法的话请看最上面的简明方案即可。下面都是测试与原理解析部分。

linzhouyu

nightgeass 发表于 2015-9-12 11:25
我已经确认在变色龙镜像和启动盘Extra下的变色龙plist中，都加入了kext-dev-mode=1，可是还是依然会卡在a ...

请问能否可以抓到与此相关的启动日志？ 可在进入系统之后用控制台查询上次无法进入系统时的kernel log

nightgeass

linzhouyu 发表于 2015-9-13 09:31
请问能否可以抓到与此相关的启动日志？ 可在进入系统之后用控制台查询上次无法进入系统时的kernel log

具体是查看控制台的哪个字段？我有点忘记之前无法启动的准确时间点了。

linzhouyu

nightgeass 发表于 2015-9-13 10:34
具体是查看控制台的哪个字段？我有点忘记之前无法启动的准确时间点了。

可尝试搜索applekextexcludelist

nightgeass

linzhouyu 发表于 2015-9-13 10:35
可尝试搜索applekextexcludelist

这个我搜过了，没有与之相关的日志。
关于这个问题其实我已经搜了不少论坛里相关的帖子。似乎大部分出现有这个kext便无法进入系统的大多都是变色龙用户。
我看到有用户给出了这样一个说法，使用CBV2版本的特殊变色龙，可以防止这个kext生成，我在主力机器正好当时装Yosemite的时候用的是这种版本的变色龙，所以一直不会都不会有这个kext生成。看来是相符的。
而备用机器一直使用的是最新版的变色龙，目前升级到10.11也是，这个kext自动重建并导致系统无法启动的问题便一直存在，难道是因为变色龙的问题么？

linzhouyu

nightgeass 发表于 2015-9-13 10:46
这个我搜过了，没有与之相关的日志。
关于这个问题其实我已经搜了不少论坛里相关的帖子。似乎大部分出现 ...

如果是这样那么不排除就是变色龙的原因，只是我目前手头也没有使用变色龙的相近配置机子测试。早先10.10刚出之时倒是有尝试过，当时并没有遇到类似的问题。另外，kext是都放到SLE并使用缓存启动么？

ai137316550

感谢楼主分享

18320070639

大神，怎么我加了<key>CsrActiveConfig</key>
                <string>0x13</string>

还是hua-mac:~ hua$ csrutil status
System Integrity Protection status: enabled.

我四叶草是最新版3263的，但是我在变色龙引导是有关闭，什么情况，不想用变色龙

linzhouyu

18320070639 发表于 2015-9-14 18:08
大神，怎么我加了CsrActiveConfig
                0x13

请把你的config文件上传

18320070639

linzhouyu 发表于 2015-9-14 21:50
请把你的config文件上传

linzhouyu

18320070639 发表于 2015-9-14 22:04

config应该没有问题。请问主板是否支持原生nvram读写？  如果支持的话也尝试使用csrutil官方工具来配置SIP，clover的注入在部分主板上可能会有问题。

18320070639

linzhouyu 发表于 2015-9-14 23:37
config应该没有问题。请问主板是否支持原生nvram读写？  如果支持的话也尝试使用csrutil官方工具来配置SI ...

我在变色龙是有效果的，请问csrutil官方工具在哪里打开

linzhouyu

18320070639 发表于 2015-9-15 00:00
我在变色龙是有效果的，请问csrutil官方工具在哪里打开

配置文件没问题的话不排除是clover自身的bug。 至于csrutil的用法，主楼的最上方即有说明。需要在recovery或安装程序环境中使用。

18320070639

linzhouyu 发表于 2015-9-15 00:23
配置文件没问题的话不排除是clover自身的bug。 至于csrutil的用法，主楼的最上方即有说明。需要在recover ...

我的是传统bios引导mbr分区，用的是win版的四叶草，也可以用csrutil ？
我发现用变色龙进系统修复权限后，用四叶草引导进系统驱动是可以加载的，但是如果在四叶草引导下（没关闭SIP）进系统，修复权限，重启用四叶草进系统有些驱动没有加载，例如applehda ，必须回到用变色龙引导进系统修复权限才可以用四叶草引导系统，驱动是完全加载的，只要不要在四叶草引导下（没关闭SIP）进入系统修复权限，驱动就不会出现不加载的情况～

linzhouyu

18320070639 发表于 2015-9-15 00:45
我的是传统bios引导mbr分区，用的是win版的四叶草，也可以用csrutil ？
我发现用变色龙进系统修复权限后 ...

如果是传统bios那必然无法原生支持nvram读写，也就无法正常使用csrutil来配置了。如果可能请将clover的启动日志上传，日志可通过clover configurator中的Boot.log功能导出。另外注意传统bios需要安装rc scripts来模拟nvram的保存。
至于你说的情况是因为在变色龙下已经将必要的kext添加到了内核缓存中，那么只要没有重建缓存的话，即使sip处在开启状态也是可以正常启动并加载这些kext的

18320070639

linzhouyu 发表于 2015-9-15 00:54
如果是传统bios那必然无法原生支持nvram读写，也就无法正常使用csrutil来配置了。如果可能请将clover的启 ...

要怎样安装rc scripts   我现在用四叶草引导已经很完美了，只是不能用四叶草关闭SIP 重建缓存，权限只能在变色龙下进行

linzhouyu

18320070639 发表于 2015-9-15 00:59
要怎样安装rc scripts   我现在用四叶草引导已经很完美了，只是不能用四叶草关闭SIP 重建缓存，权限只能在 ...

在clover的安装pkg文件自定义选项中，不过如果用win版clover那么可能无法只安装rc scripts

18320070639

只安装rc scripts，用四叶草注入013
可能会关闭SIP？