Le système de protection de l'intégrité du système (SIP) d'Apple

[Ulf64]

Apple communique très peu et très vague quant aux éléments du système et l'impact d'un SIP activé sur ces derniers.

Notre cher modo Baron a rédigé une FAQ quant à l'activation / désactivation du SIP. Très bonne initiative au vu de ce qui précède.
https://forum.macbidouille.com/index.php?showtopic=414742

Toutefois, je suggère de compléter cette FAQ des éléments du système impactés par le SIP

Code

System Integrity Protection

Items:

Apple Internal
Kext Signing
Filesystem Protections
Debugging Restrictions
DTrace Restrictions
NVRAM Protections
BaseSystem Verification

Et par les options de la commande csrutil connus à ce jour (pas tous documentés par Apple):

Code

usage: csrutil <command>
Modify the System Integrity Protection configuration. All configuration changes apply to the entire machine.
Available commands:

    clear
        Clear the existing configuration. Only available in Recovery OS.
    disable
        Disable the protection on the machine. Only available in Recovery OS.
    enable
        Enable the protection on the machine. Only available in Recovery OS.
    --without debug
        Not enable Apple internal and Debugging Restrictions.
    --without fs
        Not enable Filesystem Protections.
    status
        Display the current configuration.

    netboot
        add <address>
        Insert a new IPv4 address in the list of allowed NetBoot sources.
        list
        Print the list of allowed NetBoot sources.
        remove <address>
        Remove an IPv4 address from the list of allowed NetBoot sources.

La Recovery donnant accès à la commande "csrutil" peut être locale pour une machine tournant sous MacOS 10.11 et supérieur, ou WEB si le Mac a été livré nativement avec 10.11 et supérieur.

Donc pas de WEB-Recovery avec la commande "csrutil" pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10

Ce message a été modifié par Ulf64 - 16 Jan 2020, 17:23.

[baron]

Merci Ulf64 pour ces compléments bien utiles.

Si ça te convient, je complèterai la FAQ avec ton post, légèrement remanié pour la circonstance :

Apple communique très peu et très vaguement quant aux éléments du système impactés par un SIP activé.

Je suggère de compléter cette FAQ des éléments du système impactés par le SIP :

Code

System Integrity Protection

Items:

Apple Internal
Kext Signing
Filesystem Protections
Debugging Restrictions
DTrace Restrictions
NVRAM Protections
BaseSystem Verification

Et par les options de la commande csrutil connus à ce jour (pas tous documentés par Apple) :

Code

usage: csrutil <command>
Modify the System Integrity Protection configuration. All configuration changes apply to the entire machine.
Available commands:

    clear
        Clear the existing configuration. Only available in Recovery OS.
    disable
        Disable the protection on the machine. Only available in Recovery OS.
    enable
        Enable the protection on the machine. Only available in Recovery OS.
    --without debug
        Not enable Apple internal and Debugging Restrictions.
    --without fs
        Not enable Filesystem Protections.
    status
        Display the current configuration.

    netboot
        add <address>
            Insert a new IPv4 address in the list of allowed NetBoot sources.
        list
            Print the list of allowed NetBoot sources.
        remove <address>
            Remove an IPv4 address from the list of allowed NetBoot sources.

La Recovery donnant accès à la commande "csrutil" peut être locale pour une machine tournant sous MacOS 10.11 et supérieur, ou WEB si le Mac a été livré nativement avec 10.11 et supérieur.

Donc pas de commande "csrutil" avec WEB-Recovery (Commande-(Maj.)-Option-R au démarrage) pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10

[jeanjd63]

La Recovery donnant accès à la commande "csrutil" peut être locale pour une machine tournant sous MacOS 10.11 et supérieur, ou WEB si le Mac a été livré nativement avec 10.11 et supérieur.

Donc pas de WEB-Recovery avec la commande "csrutil" pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10

Pas tout à fait exact.
Le démarrage en mode Internet Recovery a été un peu remanié : https://support.apple.com/fr-fr/HT204904

Là je viens de démarrer mon iMac fin 2013 livré avec Maverick en mode internet recovery et si je regarde la version du système téléchargé, j'obtiens ceci :

Code

-bash-3.2# sw_vers
ProductName:    Mac OS X
ProductVersion:    10.15.2
BuildVersion:    19C57
-bash-3.2#

Donc c'est la version Catalina 10.15.2 qui a été téléchargée.
Si j'avais voulu la version "originale" du Mac, il aurait fallu que je démarre en appuyant sur : cmd+alt+maj+r

Et donc sur une machine livrée avec Maverick, compatible avec Catalina c'est la dernière version compatible avec la machine qui est téléchargée, quelque soit la version installée sur le Mac.

Et voici ce que me renvoie csrutil :

Code

-bash-3.2# sw_vers
ProductName:    Mac OS X
ProductVersion:    10.15.2
BuildVersion:    19C57
-bash-3.2# csrutil status
System Integrity Protection status: enabled (Apple Internal).
-bash-3.2#

J'envoie les infos directement depuis Safari, parfaitement utilisable en mode Recovery par la commande suivante, toujours dans notre cher terminal :

Code

-bash-3.2# /Applications/Safari.app/Contents/MacOS/Safari

Voilà voilà.

[Ulf64]

La Recovery donnant accès à la commande "csrutil" peut être locale pour une machine tournant sous MacOS 10.11 et supérieur, ou WEB si le Mac a été livré nativement avec 10.11 et supérieur.

Donc pas de WEB-Recovery avec la commande "csrutil" pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10

Pas tout à fait exact.
Le démarrage en mode Internet Recovery a été un peu remanié : https://support.apple.com/fr-fr/HT204904

T'as raison, mais le remaniement n'est pas très vieux (moins d'un mois, d'après la page support). Alors merci de l'info.
La clé USB d'installation système devient alors complètement inutile.

Ce message a été modifié par Ulf64 - 17 Jan 2020, 02:07.

[jeanjd63]

T'as raison, mais le remaniement n'est pas très vieux (moins d'un mois, d'après la page support). Alors merci de l'info.
La clé USB d'installation système devient alors complètement inutile.

Cela date de plus d'un an me semble-t-il. Ici en avril 2018 il y est fait référence https://www.macplanete.com/dossiers/29914/d...n-mode-recovery

Quand à la clé d'installation, elle reste indispensable en cas de liaison internet faiblarde. 5 à 6 Go à télécharger en cas de panne ça peut prendre du temps et devenir stressant.

Et pour en revenir au SIP perso je n'ai jamais eu de problème et je ne l'ai désactivé que très rarement. Installation de FUSE par exemple.
En mode Recovery et sans toucher au SIP, sur Catalina, il est tout à fait possible d'effectuer des modifications sur la partition système "Macintosh HD" montée en lecture seule lors du lancement du système.
Par contre, comme toujours, il faut faire attention à ce que l'on fait.

[Ulf64]

@Baron
Suite au message #3 de jeanjd63, je pense que tu devras remanier ton remaniement

[Ulf64]

T'as raison, mais le remaniement n'est pas très vieux (moins d'un mois, d'après la page support). Alors merci de l'info.
La clé USB d'installation système devient alors complètement inutile.

Cela date de plus d'un an me semble-t-il. Ici en avril 2018 il y est fait référence https://www.macplanete.com/dossiers/29914/d...n-mode-recovery

Quand à la clé d'installation, elle reste indispensable en cas de liaison internet faiblarde. 5 à 6 Go à télécharger en cas de panne ça peut prendre du temps et devenir stressant.

Et pour en revenir au SIP perso je n'ai jamais eu de problème et je ne l'ai désactivé que très rarement. Installation de FUSE par exemple.
En mode Recovery et sans toucher au SIP, sur Catalina, il est tout à fait possible d'effectuer des modifications sur la partition système "Macintosh HD" montée en lecture seule lors du lancement du système.
Par contre, comme toujours, il faut faire attention à ce que l'on fait.

J'ai retrouvé une ancienne version de la page support datée du 9.5.2018 dans mes archives. Il y avait déjà les 3 options de touches mais il faillait au moins avoir tourné sous 10.12.4.

Quant au SIP, ma première confrontation était lors de la migration (en clean) de mon Mini 2014 sur EC.
En train de re-installer applications, utilitaires et pilotes je suis confronté à des blocages.
Comme j'active toujours le ROOT sur mes Mac, je lance une session ROOT. Et là, écran noir, plus que la souris qui bouge à l'écran.
Extinction forcée et et redémarage. Ouverture d'une session normale RAS.
En recherche d'explication, je tombe sur le SIP. -> Désactivation du SIP et ouverture d'une session ROOT -> RAS tout marche. -> Concéquence: SIP toujours désactivé.

Quelque temps après je veux vendre mon vieux iMac natif SL qui a tourné brièvement sous EC (banc d'essai).
DD vide, impossible de re-installer le système d'origine au moyen du DVD fourni avec l'iMac.
Après avoir tourné en rond un bon moment, l'histoire du SIP avec le Mini me revient en mémoire.
-> reinstallation de EC pour pouvoir désactiver le SIP puis démarrage sur le DVD d'installation, repartitionnement / formatage et installation de SL sans problème.

Actuellement, chez moi, le SIP n'est que partiellement activé. Les utilitaires et le ROOT fonctionnent. Et dans les infos système, le SIP apparaît comme activé -> tout va bien.

[baron]

@Baron
Suite au message #3 de jeanjd63, je pense que tu devras remanier ton remaniement

Oui oui, j'avais bien saisi…
Je laissais un peu décanter, histoire que vous tiriez bien la chose au clair — voire si vous aviez une proposition de formulation simple ? (Là, je suis vidé après une journée bien trop longue à mon goût !)

[Edit] Est-ce que ceci ferait l'affaire ?

Donc pas de commande "csrutil" avec WEB-Recovery (Commande-(Maj.)-Option-R au démarrage) pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10 si depuis on n'a jamais installé Sierra ou une version ultérieure de macOS.

Comme indiqué, j'ai vraiment le cerveau à off ce soir. Pas envie de relire le sujet maintenant…

[baron]

[Edit] Est-ce que ceci ferait l'affaire ?

Donc pas de commande "csrutil" avec WEB-Recovery (Commande-(Maj.)-Option-R au démarrage) pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10 si depuis on n'a jamais installé Sierra ou une version ultérieure de macOS.

Comme indiqué, j'ai vraiment le cerveau à off ce soir. Pas envie de relire le sujet maintenant…

[jeanjd63]

Salut.

Tiens c'est le retour des marronniers du SIP du capitaine.
Il y avait longtemps.

[Ulf64]

[Edit] Est-ce que ceci ferait l'affaire ?

Donc pas de commande "csrutil" avec WEB-Recovery (Commande-(Maj.)-Option-R au démarrage) pour les Mac livrés avec 10.7, 10.8, 10.9 et 10.10 si depuis on n'a jamais installé Sierra ou une version ultérieure de macOS.

Comme indiqué, j'ai vraiment le cerveau à off ce soir. Pas envie de relire le sujet maintenant…

Oui, je pense que c'est bon comme ça

[baron]

Merci !

Je change ça prochainement.

[mazelle jeanne]

Mon cher baron
j'ai une petite interrogation à propos justement de la FAQ que tu as rédigée. J'ai lu ceci :
"Dans le menu  > Informations système (= Alt "A propos de ce Mac") > rubrique Logiciel, ligne en bas : « Protection de l'intégrité du système : activée (ou désactivée)"
Je n'ai pas ça sur mon iMac et pourtant il tourne avec El Capitan, est-ce normal ? Ça voudrait dire que je n'ai pas de SIP ?
Merci

[baron]

A moins que quelqu'un ne t'ait répondu d'ici là, je jetterai un œil la prochaine fois que je démarre un des Mac plus récents de la maison.
Là, avec SnowLeopard, je ne puis te répondre…

++++++++++

Normalement, ça devrait se présenter ainsi :


Tu peux aussi avoir l'information en tapant dans le Terminal :

Code

csrutil status

(suivi de la touche Enter pour valider la commande).

[mazelle jeanne]

Merci baron
En passant par le Terminal, j'ai effectivement le SIP activé mais c'est bizarre que ça n'apparaisse pas dans les Préférences Système, mais bon c'est pas bien grave.

[jeanjd63]

Merci baron
En passant par le Terminal, j'ai effectivement le SIP activé mais c'est bizarre que ça n'apparaisse pas dans les Préférences Système, mais bon c'est pas bien grave.

Tiens toi aussi tu tombes dans les filets du terminaliste.

[mazelle jeanne]

Merci baron
En passant par le Terminal, j'ai effectivement le SIP activé mais c'est bizarre que ça n'apparaisse pas dans les Préférences Système, mais bon c'est pas bien grave.

Tiens toi aussi tu tombes dans les filets du terminaliste.

Bah, aux grands maux les grands remèdes Et puis comme ça, je rends hommage à un grand homme du Terminal, un certain jeanjd63

[jeanjd63]

Bah, aux grands maux les grands remèdes Et puis comme ça, je rends hommage à un grand homme du Terminal, un certain jeanjd63

Es-tu sûre que je suis un homme?

[mazelle jeanne]

Sûre non, mais tu es marqué MacBidouilleur et dans tes messages tes adjectifs sont au masculin, mais si tu préfère que je t'appelle madame, ça ne me pose aucun problème.

[jeanjd63]

Sûre non, mais tu es marqué MacBidouilleur et dans tes messages tes adjectifs sont au masculin, mais si tu préfère que je t'appelle madame, ça ne me pose aucun problème.

Appelle moi terminaliste si un doute t'habite.

[Ulf64]

Apple communique très peu et très vague quant aux éléments du système et l'impact d'un SIP activé sur ces derniers.

Notre cher modo Baron a rédigé une FAQ quant à l'activation / désactivation du SIP. Très bonne initiative au vu de ce qui précède.
https://forum.macbidouille.com/index.php?showtopic=414742

Toutefois, je suggère de compléter cette FAQ des éléments du système impactés par le SIP

Code

System Integrity Protection

Items:

Apple Internal
Kext Signing
Filesystem Protections
Debugging Restrictions
DTrace Restrictions
NVRAM Protections
BaseSystem Verification

Et par les options de la commande csrutil connus à ce jour (pas tous documentés par Apple):

Code

usage: csrutil <command>
Modify the System Integrity Protection configuration. All configuration changes apply to the entire machine.
Available commands:

    clear
        Clear the existing configuration. Only available in Recovery OS.
    disable
        Disable the protection on the machine. Only available in Recovery OS.
    enable
        Enable the protection on the machine. Only available in Recovery OS.
    --without debug
        Not enable Apple internal and Debugging Restrictions.
    --without fs
        Not enable Filesystem Protections.
    status
        Display the current configuration.

    netboot
        add <address>
        Insert a new IPv4 address in the list of allowed NetBoot sources.
        list
        Print the list of allowed NetBoot sources.
        remove <address>
        Remove an IPv4 address from the list of allowed NetBoot sources.

La Recovery donnant accès à la commande "csrutil" peut être locale pour une machine tournant sous MacOS 10.11 et supérieur, ou WEB si le Mac a été livré nativement avec 10.11 et supérieur.

Suite à mon passage à Catalina quelques remarques:
Alors que ma configuration personnalisée (custom) des paramètres SIP a été jugée comme SIP activé par Mojave, Catalina ne reconnait pas la configuration (unknow) et juge le SIP comme désactivé.
 SIP_Custom_Mojave_Terminal.jpg ( 41.61 Ko ) Nombre de téléchargements : 10
 SIP_Custom_Mojave_infoSys.jpg ( 38.85 Ko ) Nombre de téléchargements : 8


 SIP_Custum_Catalina_Terminal.jpg ( 24.97 Ko ) Nombre de téléchargements : 8
 SIP_Custum_Catalina_infoSys.jpg ( 24.21 Ko ) Nombre de téléchargements : 11


La question est:
Est-ce que les paramètres "enable" sont actifs sous Catalina ou pas.
Dans le infos système, peut-être que Catalina juge le SIP activé seulement si tous les paramètres sont "enable"
Il faudrait tester avec une extension système (KEXT) non-signée. Il faut alors s'assurer que cette KEXT est bien chargée au boot une fois que le SIP est totalement désactivé et ne l'est pas avec la config custom.
Je n'ai pas ça sous la main. Si un Macbidouiileur peut prendre la relève . . .

[maclinuxG4]

les valeurs changent entre mac os mojave et catalina.

recherche SIP catalina pour voir les valeurs

[canaan]

Re-Salut
Je m'incruste sur le sujet
Après mon Mac Pro 5.1, je m'attaque à mon vénérable MacBook Pro 15" (late 2011).
Il tourne encore (bien) sous Mac OS 10.7 (Lion). Je viens de changer le DD d'origine pour un SSD.
Je voudrais donc activer le TRIM et en profiter pour installer XtraFinder qui nécessite aussi de désactiver SIP
Problème après redémarrage en Mode Recovery pour l'accès au Terminal,
lorsque je tape csrutil disable (en tapant "q" pour avoir le "a", cela dit),
j'ai comme message : "csrutil" : command not found"...
As usual, suggestions bienvenues; merci d'avance.

[jeanjd63]

Salut.

Si tu es sous Lion (10.7), c'est normal que tu aies cette réponse car la notion de SIP est apparu avec le Capitan. Les versions antérieures se promenaient sans SIP

Ensuite il faut être très pragmatique et tester avant de désactiver cette bestiole. Ce n'est pas systématiquement nécessaire.
Quand à l'activation de TRIM, par la commande trimforce (à partit de 10.10.4), nul besoin de désactiver le SIP (si on est sous El Capitan ou supérieur).

[canaan]

ah ok, toutes mes confuses
merci (et on ne se moque pas )))

[macmacmac]

Hello,

Comme quoi, il vaut mieux toujours chercher avant de faire des sujets et ne pas se faire taper sur les doigts… 😃

Avec l'installation de Ventura, le SIP qui est désactivé.
Si je le réactive, ça va foutre la merde?

Dans le terminal, csrutil status donne:
System Integrity Protection status: unknown (Custom Configuration).

Merci.

Ce message a été modifié par macmacmac - 19 Jan 2023, 16:12.

[jeanjd63]

@macmacmac

Comme tu as installé Ventura via OCLP (si je me souviens bien), je de déconseille de réactiver le SIP (du Capitaine à l'aventura).
En effet pour pouvoir fonctionner correctement OCLP nécessite la désactivation du SIP. Plusieurs options sont disponibles dans les menus OCLP (si tu veux tester).

[ades]

juste pour info, et la désactivation due à OCLP m'arrange bien, j'avais désactivé SIP, depuis de très anciens OS, et par principe .

Mais je ne sais pas ce que veulent dire les réponses "enabled", ni la dernière phrase, pas grave je pense… sauf si ça veut dire qu'une partie du SIP reste activée.

Code

</div><div>Last login: Thu Jan 19 17:55:13 on console
#@mac-mini-de-##~ % csrutil status
System Integrity Protection status: unknown (Custom Configuration).

Configuration:
     Apple Internal: disabled
     Kext Signing: disabled
     Filesystem Protections: disabled
     Debugging Restrictions: enabled
     DTrace Restrictions: enabled
     NVRAM Protections: enabled
     BaseSystem Verification: enabled

This is an unsupported configuration, likely to break in the future and leave your machine in an unknown state.
#@# ~ %

[macmacmac]

Hello,

Comme tu as installé Ventura via OCLP (si je me souviens bien), je de déconseille de réactiver le SIP (du Capitaine à l'aventura).
En effet pour pouvoir fonctionner correctement OCLP nécessite la désactivation du SIP. Plusieurs options sont disponibles dans les menus OCLP (si tu veux tester).

Je souhaite le réactiver car un logiciel de banque (Suisse) ne fonctionne plus si le SIP est désactivé.

Plusieurs options sont disponibles dans les menus OCLP (si tu veux tester).

Non non, je n'y connais rien et l'anglais n'est pas une langue que je maitrise bien, je ne vais pas m'aventurer là-dedans.


Ne puis-je pas réactiver le SIP et le désactiver seulement si je dois faire qqchose avec OCLP?
Car entre nous, une fois l'OS installé, je n'ai plus de raison d'aller l'ouvrir il me semble.

Ai-je faux?


Merci.

[jeanjd63]

Un logiciel qui impose l'activation du SIP ????
Ils sont très forts ces Suisses.

Pour moi, la seule solution est de garder un Catalina sur tes Mac, de faire sous OCLP un Reset SMC (touche ALT au démarrage puis barre espace et là tout à droite sélectionner l'icône "Reset SMC") puis redémarrer en mode Recovery Catalina, activer le SIP, puis toujours via la touche ALT sélectionner l'icône Catalina.
Un peu compliqué, mais ça fonctionne.

Sinon je n'ai pas testé les différentes options OCLP.

Raison de l'édition : La touche ALT, pas ALP