OS X 10.11 - Comprendre les nouvelles règles de sécurité

OS X 10.11 - Comprendre les nouvelles règles de sécurité, Qu'est-ce qu'elles changent sur nos Hackintosh ?

polyzargone Voir le profil	23 Jul 2015, 19:28 Message #1
Macbidouilleur d'Or ! Groupe : Modérateurs Messages : 13 775 Inscrit : 11 May 2006 Membre n^o 60 938	Bonjour à tous. Je vous propose ici de venir discuter des nouvelles règles en matière de sécurité introduites par OS X "El Capitan". Le temps où OS X pouvait se vanter d'être à l'abri des virus et des malware est révolu. Sans parler des failles de sécurité propres à OS X . L'actualité récente le prouve régulièrement, et avec le succès toujours grandissants des OS d'Apple (OS X, iOS et maintenant WatchOS), les menaces sont de plus en plus présentes et il serait suicidaire de les ignorer. Il ne s'agit pas ici de débattre sur la politique d'Apple en la matière, les news de MacBidouille ainsi que le forum "Articles & News : Vos réactions" sont là pour ça. Non, il s'agit plutôt de discuter des implications qu'elle peut avoir sur Nos Hackintosh et sur leur fonctionnement. Pour commencer, faisons le point : La Developer Preview 4 et la Public Beta 2 n'autorisent plus le chargement de kexts s'ils sont installés ailleurs que dans /Library/Extensions ou /System/Library/Extensions. Conséquence : Les kexts situés dans EFI/CLOVER/kexts/10.11 (Clover) et ceux dans Extra/Extensions (Chameleon) ne se chargeront pas. Et ce, même en utilisant les boot-flags kext-dev-mode=1 et/ou rootless=0 Pour l'instant, on ne sait pas trop si c'est dû aux bootloaders ou si c'est autre chose… Pour rappel : • kext-dev-mode=1 permet sous Yosemite d'autoriser le chargement des kexts non-signés par Apple ou un développeur enregistré. Sous 10.11, ce boot-flag est obsolète. • rootless=0 est un nouveau boot-flag qui permet de désactiver l'ensemble des nouvelles mesures de protection d'OS X 10.11. Sans ce boot-flag, il est impossible de modifier le dossier System et donc de modifier, ajouter ou retirer des kexts non-signés par Apple ou un développeur enregistré. Et même dans ce dernier cas, il reste quand même des limitations à ce que peut faire un kext ou pas. Je vous invite à lire cet article qui explique (en anglais ) assez bien le pourquoi du comment. Vous pouvez également consulter ce document (240 pages ) qui explique le fonctionnement du système de sécurité d'OS X 10.11 (source Apple). On retiendra donc que le boot-flag rootless=0 remplace kext-dev-mode=1 et qu'il devient de facto obligatoire sur nos Hacks. Pas forcément de façon systématique mais mieux vaut l'activer en permanence si on veut pouvoir bricoler un peu les permissions et/ou reconstruire le cache (je rappelle que c'est très important sur Hackintosh ). Maintenant, la question qui risque de se poser à terme, c'est va-t-on vers un OS X beaucoup plus vulnérable sur un Hack par rapport à un Mac du fait de la désactivation obligatoire de ces nouvelles mesures de protection ? Si sur Yosemite, kext-dev-mode=1 ouvrait déjà un peu les vannes, sur El Capitan, c'est carrément tout le système de protection qui sera désactivé ! Voilà. Tout ceci ne sont que des interprétations basées sur ce que j'en ai vu/lu. Je vous invite bien sûr à partager vos points de vue et à me corriger si je n'ai rien compris . -------------------- Un Mac • macOS 10.15.7 MacBook Air mi-2012 Core i5 1,7 GHz Intel HD 4000 SSD 64 Go Des Hacks • Asus Z170-P - Core i7 6700 3,40 GHz - XFX 6800 XT 16 Go - 32 Go DDR4 • Gigabyte H110M-S2H - Core i5 6600 3,30 GHz - Zotac GTX 1060 6 Go - 32 Go DDR4 • Gigabyte GA-H97-HD3 - Core i5 4570 3,20 GHz - MSI GTX 650 Ti 2 Go - 16 Go DDR3 • Acer Aspire V3 772G Core i5 4210M 2,60 GHz - Intel HD 4600 + GTX 850M 2 Go (désactivée) - 16 Go DDR3 • Dell Latitude e7470 Core i5 6300U 2,40 GHz - Intel HD 520 - 16 Go DDR4 • Dell Latitude 7490 Core i7 8650U 1,90 GHz - Intel UHD 620 - 16 Go DDR4 • Dell Latitude e7440 Core i7 4600U 2,10 GHz - Intel HD 4400 - 16 Go DDR3 • HP Elite 8300 USFF - Core i7 3770S 3,90 GHz - Intel HD 4000 (+ quelques autres...) Politique vis à vis des outils automatisés et des distributions - Guide d'installation - Tutoriels - Lexique et utilité des Kexts - FAQ Générale du Hackintosh - FAQ des Bootloaders - FAQ des Bootflags - FAQ des problèmes les plus courants - FAQ sur les Mises à jour Majeures sur Hackintosh

Réponse(s)

aranaud Voir le profil Voir les albums	6 Aug 2015, 11:27 Message #2
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 890 Inscrit : 6 Oct 2003 Membre n^o 10 144	Donc si je comprend bien. On devrai pourvoir mettre 0x1 à la place de 0x67 pour faire fonctionner 10.11 sur no Hackintosh ? L'utilité de BooterConfig ? Code <key>RtVariables</key> <dict> <key>BooterConfig</key> <string>0x28</string> <key>CsrActiveConfig</key> <string>0x67</string> </dict> -------------------- Hackintosh cru 2013 i7 3,5 GHz, Gigabyte Z87X-UD5H, 32 Go, Radeon RX 580, Sonoma, opencore (1.0.1) Si bios briqué --- Mac Mini M4 Pro 48Go, Sequoia MacBook Pro cru 2012 15" 2.6GHz, HD Antireflet, 16 Go, Sonoma avec OCLP (2.0.2) --- Mac Mini cru 2012 2,5 GHz, 4 Go, High Sierra --- iPad Air (4ᵉ génération).

polyzargone Voir le profil	6 Aug 2015, 20:01 Message #3
Macbidouilleur d'Or ! Groupe : Modérateurs Messages : 13 775 Inscrit : 11 May 2006 Membre n^o 60 938	Citation (aranaud @ 6 Aug 2015, 12:27) Donc si je comprend bien. On devrai pourvoir mettre 0x1 à la place de 0x67 pour faire fonctionner 10.11 sur no Hackintosh ? L'utilité de BooterConfig ? En principe, tu peux même démarrer avec 0x00 à condition que tu ne rajoutes aucun kext et que tu ne reconstruises surtout pas le cache. De cette manière, tu auras le SIP activé et le maximum de protection mais tu ne pourras plus rien faire dans le dossier System sans modifier à nouveau le CrsActiveConfig en 0x1 ou 0x3. Mais oui, tu as raison, 0x1 suffit pour démarrer un Hackintosh sous OS X 10.11. À mon avis 0x65 ou 0x67 ne servent absolument à rien pour le commun des mortels, autrement dit nous . À noter tout de même que certains utilitaires comme DarwinDumper par exemple ont besoin de DTrace pour créer un rapport. Quant à BooterConfig, visiblement il ne sert à rien du tout. -------------------- Un Mac • macOS 10.15.7 MacBook Air mi-2012 Core i5 1,7 GHz Intel HD 4000 SSD 64 Go Des Hacks • Asus Z170-P - Core i7 6700 3,40 GHz - XFX 6800 XT 16 Go - 32 Go DDR4 • Gigabyte H110M-S2H - Core i5 6600 3,30 GHz - Zotac GTX 1060 6 Go - 32 Go DDR4 • Gigabyte GA-H97-HD3 - Core i5 4570 3,20 GHz - MSI GTX 650 Ti 2 Go - 16 Go DDR3 • Acer Aspire V3 772G Core i5 4210M 2,60 GHz - Intel HD 4600 + GTX 850M 2 Go (désactivée) - 16 Go DDR3 • Dell Latitude e7470 Core i5 6300U 2,40 GHz - Intel HD 520 - 16 Go DDR4 • Dell Latitude 7490 Core i7 8650U 1,90 GHz - Intel UHD 620 - 16 Go DDR4 • Dell Latitude e7440 Core i7 4600U 2,10 GHz - Intel HD 4400 - 16 Go DDR3 • HP Elite 8300 USFF - Core i7 3770S 3,90 GHz - Intel HD 4000 (+ quelques autres...) Politique vis à vis des outils automatisés et des distributions - Guide d'installation - Tutoriels - Lexique et utilité des Kexts - FAQ Générale du Hackintosh - FAQ des Bootloaders - FAQ des Bootflags - FAQ des problèmes les plus courants - FAQ sur les Mises à jour Majeures sur Hackintosh

Les messages de ce sujet

polyzargone OS X 10.11 - Comprendre les nouvelles règles de sécurité 23 Jul 2015, 19:28

Sebinouse Citation (polyzargone @ 23 Jul 2015, 20:2... 23 Jul 2015, 22:07

polyzargone Citation (Sebinouse @ 23 Jul 2015, 23:07)... 23 Jul 2015, 23:36

blueG3 en terme de "sécurité cible" , c'e... 23 Jul 2015, 22:34

heinzoliger Voici mon opinion : Il y a deux sortes d'atta... 25 Jul 2015, 14:44

polyzargone Très intéressant en effet. Je te rejoins sur le... 25 Jul 2015, 16:34

heinzoliger Pour les anciennes versions, c'est sûr qu... 25 Jul 2015, 20:46

Akirami Merci de ce topic, je suis entrain de construire u... 27 Jul 2015, 17:07

Ovape Citation (Akirami @ 27 Jul 2015, 18:07) M... 28 Jul 2015, 08:07

Akirami Citation (Ovape @ 28 Jul 2015, 09:07) Cit... 28 Jul 2015, 13:49

polyzargone Petit état des lieux en ce qui concerne les nouve... 29 Jul 2015, 17:33

chris27 Tu as pu exécuter le CSRUTIL directement dans EL_... 29 Jul 2015, 18:37

polyzargone Citation (chris27 @ 29 Jul 2015, 19:37) T... 29 Jul 2015, 18:52

polyzargone Citation (Akirami @ 27 Jul 2015, 18:07) L... 29 Jul 2015, 20:36

Akirami Je t'assure qu'il y a bien des kexts conce... 31 Jul 2015, 07:20

iGH Citation Kext editing/unsigned kexts require only:... 31 Jul 2015, 19:25

polyzargone Merci iGH Pour compléter et en espérant que ce... 5 Aug 2015, 18:09

aranaud Donc si je comprend bien. On devrai pourvoir mettr... 6 Aug 2015, 11:27

polyzargone Citation (aranaud @ 6 Aug 2015, 12:27) Do... 6 Aug 2015, 20:01

aranaud Bon, j'ai viré BooterConfig vu qui ne sert à... 8 Aug 2015, 14:58

« Sujets plus anciens · [Hackintosh] Discussions générales · Sujets plus récents »

1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))

0 membre(s) :