OS X 10.11 - Comprendre les nouvelles règles de sécurité

OS X 10.11 - Comprendre les nouvelles règles de sécurité, Qu'est-ce qu'elles changent sur nos Hackintosh ?

polyzargone Voir le profil	23 Jul 2015, 19:28 Message #1
Macbidouilleur d'Or ! Groupe : Modérateurs Messages : 13 775 Inscrit : 11 May 2006 Membre n^o 60 938	Bonjour à tous. Je vous propose ici de venir discuter des nouvelles règles en matière de sécurité introduites par OS X "El Capitan". Le temps où OS X pouvait se vanter d'être à l'abri des virus et des malware est révolu. Sans parler des failles de sécurité propres à OS X . L'actualité récente le prouve régulièrement, et avec le succès toujours grandissants des OS d'Apple (OS X, iOS et maintenant WatchOS), les menaces sont de plus en plus présentes et il serait suicidaire de les ignorer. Il ne s'agit pas ici de débattre sur la politique d'Apple en la matière, les news de MacBidouille ainsi que le forum "Articles & News : Vos réactions" sont là pour ça. Non, il s'agit plutôt de discuter des implications qu'elle peut avoir sur Nos Hackintosh et sur leur fonctionnement. Pour commencer, faisons le point : La Developer Preview 4 et la Public Beta 2 n'autorisent plus le chargement de kexts s'ils sont installés ailleurs que dans /Library/Extensions ou /System/Library/Extensions. Conséquence : Les kexts situés dans EFI/CLOVER/kexts/10.11 (Clover) et ceux dans Extra/Extensions (Chameleon) ne se chargeront pas. Et ce, même en utilisant les boot-flags kext-dev-mode=1 et/ou rootless=0 Pour l'instant, on ne sait pas trop si c'est dû aux bootloaders ou si c'est autre chose… Pour rappel : • kext-dev-mode=1 permet sous Yosemite d'autoriser le chargement des kexts non-signés par Apple ou un développeur enregistré. Sous 10.11, ce boot-flag est obsolète. • rootless=0 est un nouveau boot-flag qui permet de désactiver l'ensemble des nouvelles mesures de protection d'OS X 10.11. Sans ce boot-flag, il est impossible de modifier le dossier System et donc de modifier, ajouter ou retirer des kexts non-signés par Apple ou un développeur enregistré. Et même dans ce dernier cas, il reste quand même des limitations à ce que peut faire un kext ou pas. Je vous invite à lire cet article qui explique (en anglais ) assez bien le pourquoi du comment. Vous pouvez également consulter ce document (240 pages ) qui explique le fonctionnement du système de sécurité d'OS X 10.11 (source Apple). On retiendra donc que le boot-flag rootless=0 remplace kext-dev-mode=1 et qu'il devient de facto obligatoire sur nos Hacks. Pas forcément de façon systématique mais mieux vaut l'activer en permanence si on veut pouvoir bricoler un peu les permissions et/ou reconstruire le cache (je rappelle que c'est très important sur Hackintosh ). Maintenant, la question qui risque de se poser à terme, c'est va-t-on vers un OS X beaucoup plus vulnérable sur un Hack par rapport à un Mac du fait de la désactivation obligatoire de ces nouvelles mesures de protection ? Si sur Yosemite, kext-dev-mode=1 ouvrait déjà un peu les vannes, sur El Capitan, c'est carrément tout le système de protection qui sera désactivé ! Voilà. Tout ceci ne sont que des interprétations basées sur ce que j'en ai vu/lu. Je vous invite bien sûr à partager vos points de vue et à me corriger si je n'ai rien compris . -------------------- Un Mac • macOS 10.15.7 MacBook Air mi-2012 Core i5 1,7 GHz Intel HD 4000 SSD 64 Go Des Hacks • Asus Z170-P - Core i7 6700 3,40 GHz - XFX 6800 XT 16 Go - 32 Go DDR4 • Gigabyte H110M-S2H - Core i5 6600 3,30 GHz - Zotac GTX 1060 6 Go - 32 Go DDR4 • Gigabyte GA-H97-HD3 - Core i5 4570 3,20 GHz - MSI GTX 650 Ti 2 Go - 16 Go DDR3 • Acer Aspire V3 772G Core i5 4210M 2,60 GHz - Intel HD 4600 + GTX 850M 2 Go (désactivée) - 16 Go DDR3 • Dell Latitude e7470 Core i5 6300U 2,40 GHz - Intel HD 520 - 16 Go DDR4 • Dell Latitude 7490 Core i7 8650U 1,90 GHz - Intel UHD 620 - 16 Go DDR4 • Dell Latitude e7440 Core i7 4600U 2,10 GHz - Intel HD 4400 - 16 Go DDR3 • HP Elite 8300 USFF - Core i7 3770S 3,90 GHz - Intel HD 4000 (+ quelques autres...) Politique vis à vis des outils automatisés et des distributions - Guide d'installation - Tutoriels - Lexique et utilité des Kexts - FAQ Générale du Hackintosh - FAQ des Bootloaders - FAQ des Bootflags - FAQ des problèmes les plus courants - FAQ sur les Mises à jour Majeures sur Hackintosh

Réponse(s)

chris27 Voir le profil	29 Jul 2015, 18:37 Message #2
Macbidouilleur d'Or ! Groupe : Ancien de la team Messages : 1 792 Inscrit : 26 Feb 2006 Membre n^o 56 395	Tu as pu exécuter le CSRUTIL directement dans EL_capitan ? Dans mon cas il m'a demander d'aller directement dans le recovery pour le faire. Mais, dans le recovery, il ne me trouvait pas la bonne commande... En tout cas, le fait d'ajouter : <key>RtVariables</key> <dict> <key>BooterConfig</key> <string>0x28</string> <key>CsrActiveConfig</key> <string>0x67</string> </dict> au config.plist sur clover, permet de désactiver le SIP. -------------------- Hackintosh : MSI Z97GAMING 5 + Core i7 4790k + Noctua NH U12S + 8 Go DDR3 + MSI Geforce GTX 760 + SSD CRUCIAL MX 100 (Clover) + Os X El Capitan // Imac G4 "retina" ;) basé sur un NUC6I3SYK + 8 go de ram avec écran 16801050 iPhone 6 + MacBook Pro Retina 13" Début 2015 FAQ* Générale du Hackintosh - FAQ des Bootloaders - FAQ des Bootflags - FAQ des problèmes les plus courants - Tutoriels

Les messages de ce sujet

polyzargone OS X 10.11 - Comprendre les nouvelles règles de sécurité 23 Jul 2015, 19:28

Sebinouse Citation (polyzargone @ 23 Jul 2015, 20:2... 23 Jul 2015, 22:07

polyzargone Citation (Sebinouse @ 23 Jul 2015, 23:07)... 23 Jul 2015, 23:36

blueG3 en terme de "sécurité cible" , c'e... 23 Jul 2015, 22:34

heinzoliger Voici mon opinion : Il y a deux sortes d'atta... 25 Jul 2015, 14:44

polyzargone Très intéressant en effet. Je te rejoins sur le... 25 Jul 2015, 16:34

heinzoliger Pour les anciennes versions, c'est sûr qu... 25 Jul 2015, 20:46

Akirami Merci de ce topic, je suis entrain de construire u... 27 Jul 2015, 17:07

Ovape Citation (Akirami @ 27 Jul 2015, 18:07) M... 28 Jul 2015, 08:07

Akirami Citation (Ovape @ 28 Jul 2015, 09:07) Cit... 28 Jul 2015, 13:49

polyzargone Petit état des lieux en ce qui concerne les nouve... 29 Jul 2015, 17:33

chris27 Tu as pu exécuter le CSRUTIL directement dans EL_... 29 Jul 2015, 18:37

polyzargone Citation (chris27 @ 29 Jul 2015, 19:37) T... 29 Jul 2015, 18:52

polyzargone Citation (Akirami @ 27 Jul 2015, 18:07) L... 29 Jul 2015, 20:36

Akirami Je t'assure qu'il y a bien des kexts conce... 31 Jul 2015, 07:20

iGH Citation Kext editing/unsigned kexts require only:... 31 Jul 2015, 19:25

polyzargone Merci iGH Pour compléter et en espérant que ce... 5 Aug 2015, 18:09

aranaud Donc si je comprend bien. On devrai pourvoir mettr... 6 Aug 2015, 11:27

polyzargone Citation (aranaud @ 6 Aug 2015, 12:27) Do... 6 Aug 2015, 20:01

aranaud Bon, j'ai viré BooterConfig vu qui ne sert à... 8 Aug 2015, 14:58

« Sujets plus anciens · [Hackintosh] Discussions générales · Sujets plus récents »

1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))

0 membre(s) :