macOS SIP (System Integrity Protection)

-

macOS sistem güvenliğinin temel taşı olan SIP (Sistem Bütünlüğü Koruması), Apple'ın "Rootless" (Kök Yetkisiz) olarak da adlandırdığı bir güvenlik katmanıdır. SIP'in ne olduğunu, neden önemli olduğunu ve teknik olarak nasıl çalıştığının detayla anlatımı.

1. SIP Nedir? (System Integrity Protection)

SIP, ilk olarak macOS El Capitan (10.11) ile tanıtılan bir güvenlik teknolojisidir. Temel amacı, sistemin en yetkili kullanıcısı olan root (süper kullanıcı) hesabının bile sistem dosyaları üzerinde değişiklik yapmasını, bu dosyaları silmesini veya üzerine yazmasını engellemektir.

Eskiden, bir kötü amaçlı yazılım root yetkisi elde ettiğinde tüm işletim sistemini ele geçirebiliyordu. SIP, bu yetkiyi kısıtlayarak işletim sisteminin çekirdek bütünlüğünü koruma altına alır.

2. SIP Hangi Alanları Korur?

SIP aktif olduğunda, sistemin kritik bölümleri salt okunur (read-only) hale gelir. Bu alanlar şunlardır:

  • /System (İşletim sistemi dosyaları)

  • /usr (Bin, sbin ve lib klasörleri - /usr/local hariç)

  • /bin (Temel komutlar: ls, cp vb.)

  • /sbin (Sistem yönetim komutları)

  • Önceden yüklenmiş Apple uygulamaları (Safari, Mail vb.)

Buna karşılık, üçüncü taraf uygulamalar ve kullanıcılar şu dizinlerde özgürce işlem yapmaya devam edebilir:

  • /Applications

  • /Library

  • /usr/local

  • ~/ (Kullanıcı klasörü)

3. SIP Nasıl Çalışır?

SIP, kernel (çekirdek) seviyesinde çalışan bir mekanizmadır. Dosya sistemi üzerindeki kısıtlamaların yanı sıra şu ek güvenlik önlemlerini de sağlar:

  1. Kod İmzalama Kontrolü: Sistem dosyalarının yalnızca Apple tarafından imzalanmış sürümlerinin çalışmasına izin verir.

  2. Bellek Koruması: Bir uygulamanın, başka bir uygulamanın (özellikle sistem süreçlerinin) bellek alanına müdahale etmesini engeller.

  3. Kernel Extension (Kext) Kısıtlaması: İmzalanmamış çekirdek uzantılarının yüklenmesini engeller.

4. SIP Durumunu Kontrol Etme

Sisteminizde SIP'in aktif olup olmadığını Terminal üzerinden basit bir komutla öğrenebilirsiniz:

Bash:
csrutil status

Bu komutun çıktısı genellikle şöyledir:

System Integrity Protection status: enabled.

5. SIP Nasıl Kapatılır? (Gelişmiş Kullanıcılar İçin)

Bazı durumlarda (derin sistem modifikasyonları veya özel geliştirme araçları için) SIP'i kapatmak gerekebilir. Dikkat: Bu işlem sisteminizi saldırılara karşı savunmasız bırakır.

  1. Mac'inizi Kurtarma Modu (Recovery Mode) ile başlatın.

    • Intel Mac: Başlangıçta Cmd + R tuşlarına basın.

    • Apple Silicon (M1/M2/M3): Güç düğmesine basılı tutun ve "Seçenekler"i seçin.

  2. Üst menüden İzlenceler (Utilities) > Terminal'i açın.

  3. Aşağıdaki komutu yazın ve Enter'a basın:

    Bash:
    csrutil disable

  4. Mac'inizi yeniden başlatın.

Tekrar açmak için aynı adımları izleyip csrutil enable komutunu kullanmalısınız.

6. Özet ve Sonuç

SIP, macOS'u dünyanın en güvenli işletim sistemlerinden biri yapan temel unsurdur. Sıradan bir kullanıcının bu ayarı değiştirmesi önerilmez. Ancak geliştiriciler ve sistem yöneticileri için bu mekanizmanın nasıl çalıştığını bilmek, sorun giderme ve özelleştirme süreçlerinde kritik önem taşır.

SIP Hakkında Sıkça Sorulanlar

ÖzellikDurum
Root yetkisi her şeyi yapabilir mi?Hayır, SIP aktifse root bile sistem dosyalarını silemez.
SIP performansı etkiler mi?Hayır, sistem üzerinde fark edilebilir bir performans yükü oluşturmaz.
Uygulamalarım bozulur mu?Standart App Store veya güvenilir kaynaklı uygulamalar SIP ile tam uyumlu çalışır.

Apple Silicon (M1, M2, M3) işlemcili Mac'lerde SIP mimarisi, Intel tabanlı sistemlere göre çok daha katmanlı bir yapıya sahiptir. Intel Mac’lerde SIP'i kapatmak "ya hep ya hiç" mantığıyla çalışırken, Apple Silicon ile birlikte "Azaltılmış Güvenlik" (Reduced Security) kavramı hayatımıza girmiştir.

İşte Apple Silicon mimarisinde SIP ve sistem güvenliğinin teknik detaylarını içeren ikinci bölüm:

Apple Silicon ve Güvenlik Politikaları

Apple Silicon işlemcilerde güvenlik ayarları artık sadece bir Terminal komutuyla değil, doğrudan donanım yazılımı (firmware) seviyesinde bir Güvenlik Politikası (Security Policy) seçimiyle yönetilir.

1. Yerel Politika (Local Policy) Kavramı

Apple Silicon, her işletim sistemi kurulumu için ayrı bir "Yerel Politika" dosyası tutar. Bu dosya, sistemin ne kadar güvenli olacağını belirler. SIP ayarlarını değiştirdiğinizde, aslında bu politikayı imzalamış ve donanıma "bu değişikliği ben onayladım" demiş olursunuz.

2. Güvenlik Seviyeleri

SeviyeAçıklama
Tam Güvenlik (Full Security)Varsayılan ayardır. Yalnızca mevcut en güncel ve Apple tarafından onaylanmış sistem yazılımlarının çalışmasına izin verir.
Azaltılmış Güvenlik (Reduced Security)Kullanıcının kernel seviyesindeki modüllere (Kext) ve SIP özelleştirmelerine izin verdiği moddur.

Apple Silicon'da SIP ve Kernel Uzantılarını Yönetme

Apple Silicon üzerinde derinlemesine bir çalışma yapacaksanız, sadece SIP'i kapatmak yetmeyebilir; aynı zamanda sistemin kernel uzantılarını (Kext) kabul etmesini sağlamanız gerekir.

Adım Adım Yapılandırma:

  1. Kurtarma Moduna Giriş:

    • Mac'inizi tamamen kapatın.

    • "Başlangıç seçenekleri yükleniyor" yazısını görene kadar Güç düğmesine (Touch ID) basılı tutun.

    • Seçenekler > Sürdür yolunu izleyin.

  2. Güvenlik Politikasını Belirleme:

    • Üst menüden İzlenceler > Başlangıç Güvenliği İzlencesi'ni seçin.

    • Sistemin kurulu olduğu diski seçin ve Güvenlik Politikası... butonuna tıklayın.

    • "Azaltılmış Güvenlik" seçeneğini işaretleyin.

    • (Opsiyonel) Eğer özel kernel modülleri kullanacaksanız "Tanımlanmış geliştiricilerin kernel uzantılarını yönetmesine izin ver" kutucuğunu da işaretleyin.

  3. SIP'i Özelleştirme (Terminal):

    Artık Terminal'i açıp csrutil komutunu daha detaylı kullanabilirsiniz.

Gelişmiş csrutil Parametreleri

Apple Silicon kullanıcıları için SIP'i tamamen kapatmak yerine, sadece belirli kapıları açmak çok daha güvenlidir. İşte kullanabileceğiniz bazı özel parametreler:

  • Sadece Dosya Sistemi Korumasını Kapatmak:

    csrutil enable --without fs

  • Sadece Kernel Uzantısı Kısıtlamasını Kaldırmak:

    csrutil enable --without kext

  • Hata Ayıklama (Debugging) Kısıtlamasını Kaldırmak:

    csrutil enable --without debug

Not: Bu komutlar uygulandığında sistem "Custom Configuration" (Özel Yapılandırma) moduna geçer.

Neden Bu Kadar Karmaşık? (Donanım Güvenliği)

Apple Silicon’daki bu karmaşıklığın nedeni Secure Enclave ve Ayrıcalıklı Önyükleme (Secure Boot) sistemidir. İşlemci, açılış sırasında her bir kod parçasının imzasını donanım seviyesinde kontrol eder. SIP'i kapattığınızda, donanıma "imza kontrolünü gevşet" talimatı gönderilir. Bu da macOS'un iPhone'lardaki gibi katı bir güvenlik yapısına sahip olmasından kaynaklanır.

Eğitim İçin Önemli Not:

Eğer bir sistem yöneticisiyseniz veya blogunuzda paylaşıyorsanız şunu vurgulamanızda fayda var: SIP'i kapatmak Apple Pay ve bazı DRM korumalı içeriklerin (Netflix 4K vb.) çalışmasını engelleyebilir veya kısıtlayabilir. Çünkü sistem artık "güvenilir (trusted)" zincirinden çıkmış kabul edilir.

Bu teknik detaylar, Apple Silicon dünyasında sistem yönetimi yapmak isteyenler için hayati önem taşıyor.

macOS'un savunma hattı sadece SIP ile sınırlı değildir. SIP sistem dosyalarını korurken, Gatekeeper ve XProtect dışarıdan gelen uygulamaların güvenliğini denetler. Bu iki mekanizma, macOS'un "kötü amaçlı yazılımlara karşı bağışıklık sistemini" oluşturur.

1. Gatekeeper: "Kapıdaki Muhafız"

Gatekeeper, internetten indirilen veya harici bir diskten gelen uygulamaların sistemde çalıştırılmasına izin verilip verilmeyeceğine karar veren ilk kontrol noktasıdır.

Nasıl Çalışır?

Bir uygulamayı indirdiğinizde, macOS bu dosyaya bir "Quarantine" (Karantina) bayrağı ekler. Uygulamayı ilk kez açtığınızda Gatekeeper devreye girer ve şu üç kontrolü yapar:

  1. Kod İmzası Kontrolü: Uygulama, Apple tarafından onaylanmış bir geliştirici sertifikasına sahip mi?

  2. Noter Onayı (Notarization): Apple, bu uygulamayı kötü amaçlı yazılım taramasından geçirdi mi? (macOS 10.15 Catalina sonrası zorunludur).

  3. Bütünlük Kontrolü: Uygulama indirildikten sonra içeriği değiştirilmiş mi?

Gatekeeper Ayarlarını Yönetme

Terminal üzerinden Gatekeeper'ın durumunu kontrol edebilirsiniz:

Bash:
spctl --status

  • Açmak için: sudo spctl --master-enable

  • Kapatmak için (Önerilmez): sudo spctl --master-disable (Bu komut, Ayarlar'da "Her Yerden" seçeneğini aktif eder).

2. XProtect: "Görünmez Antivirüs"

Çoğu kullanıcı macOS'un yerleşik bir antivirüsü olmadığını sanır, ancak XProtect tam olarak bu işi yapar. Arka planda sessizce çalışan imza tabanlı bir malware (kötü amaçlı yazılım) tarayıcısıdır.

Temel Özellikleri:

  • İmza Tabanlı Tarama: Apple, bilinen kötü amaçlı yazılımların "parmak izlerini" içeren bir listeyi (YARA kuralları) sürekli günceller.

  • Düşük Kaynak Tüketimi: Geleneksel antivirüsler gibi sistemi yormaz; sadece bir dosya ilk açıldığında, değiştirildiğinde veya güncellendiğinde tarama yapar.

  • Otomatik Güncelleme: XProtect tanımları, sistem güncellemelerinden bağımsız olarak arka planda Apple tarafından otomatik olarak güncellenir.

3. XProtect Remediator (MRT)

Apple son yıllarda güvenliği bir adım öteye taşıyarak XProtect Remediator'ı tanıttı. Eski adıyla MRT (Malware Removal Tool) olan bu yapı, sistemde bir zararlı yazılım tespit ederse onu sadece engellemekle kalmaz, aynı zamanda aktif olarak temizler.

XProtect ve Gatekeeper Arasındaki Fark

ÖzellikGatekeeperXProtect
GöreviUygulamanın kaynağını ve sertifikasını doğrular.Uygulamanın içeriğinde virüs/malware arar.
Ne Zaman Çalışır?Uygulama ilk kez çalıştırıldığında.Her tarama tetiklendiğinde veya arka planda.
Kullanıcı EtkileşimiUyarı penceresi çıkarır ("Aç" veya "Çöp Sepetine At").Genellikle sessiz çalışır, sadece tehdit bulursa müdahale eder.

4. Eğitim Notu: "Sağ Tık" Yöntemi

Eğer güvenilir ama imzalanmamış (Noter onayı olmayan) bir uygulama açmanız gerekiyorsa, Gatekeeper'ı tamamen kapatmak yerine Apple'ın sunduğu güvenli istisnayı kullanabilirsiniz:

Uygulamaya Sağ Tıklayın ve 'ı seçin. Bu yöntemle Gatekeeper size "Yine de açmak istiyor musunuz?" diye sorar ve kullanıcı onayını kaydederek uygulamanın çalışmasına izin verir.

Makale Serisi İçin Özet

Blogunuzda bu üçlüyü (SIP + Gatekeeper + XProtect) şu şekilde formüle edebilirsiniz:

  • SIP: Kaleyi (Sistem Dosyalarını) korur.

  • Gatekeeper: Kapıdaki nöbetçidir (Uygulama Giriş Kontrolü).

  • XProtect: İçerideki dedektiftir (Zararlı Yazılım Taraması).

macOS güvenliğinin neden "kapalı bir kutu" gibi sağlam olduğunu tam olarak açıklamış olduk.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Android Telefon/Tablet Ekranını Pardus ETAP 23 Yüklü Akıllı Tahtaya Yansıtma

-
Resim
Bu eğitim, öğretmenlerin Android tablet veya telefonlarının ekranını kolayca tahta ekranına yansıtmaları için gereken tüm yöntemler ayrıntılı şekilde anlatılmaktadır. 1. Giriş Android cihazı akıllı tahtaya yansıtmanın amacı: Dersi telefondan yönetmek Mobil uygulamaları sınıfa göstermek YouTube, EBA, PDF, görsel veya kamera görüntüsünü aktarmak Kablosuz sunum yapmak Pardus ETAP 23 üzerinde yansıtma işlemi için en çok tercih edilen yöntemler: Scrcpy (USB + WiFi bağlantılı) — En stabil çözüm Third-party çözümler (TeamViewer Host, DeskScreen, Vysor vb.) Bu makalede en garantili ve ETAP 23’e en uyumlu yöntem olan Scrcpy başta olmak üzere tüm yöntemleri anlatıyoruz. 2. Scrcpy ile Yansıtma Scrcpy, Android cihazınızı yüksek kalite / düşük gecikme ile bilgisayara aktaran açık kaynaklı bir yazılımdır. Pardus ETAP 23 için mükemmel uyumludur. ✔️ 2.1. Kurulum Adım 1 — Gerekli paketleri yükle Terminali açın: sudo apt update sudo apt install scrcpy adb android-to...
Devamı

Pardus Etap 23’de Unutulmuş Etap Yetkili Parolasını Sıfırlama

-
Resim
Bu kısa eğitimde, Pardus sisteminde unutulmuş bir Etap Yetkli parolasının nasıl sıfırlanacağını öğreneceksiniz. Bu, etapadmin kullanıcısı olarak oturum açma ve yönetim görevlerini gerçekleştirme yeteneğinizi yeniden kazanmanıza yardımcı olacaktır. Öncelikle Pardus sisteminizi açın veya yeniden başlatın. Aşağıda gösterildiği gibi bir GRUB menüsüyle karşılaşacaksınız. İlk seçenekte devam edin ve sistem başlatılmadan önce klavyedeki " e " tuşuna basın. . Bu sizi aşağıda gösterilen ekrana yönlendirecektir. Aşağı kaydırın ve /boot/vmlinuz-* bölümünden önce gelen ve UUID 'yi de belirten ' linux ' ile başlayan satırı bulun.   İmleci bu satırın sonuna götürün ve ‘ ro quiet’ bölümünden hemen sonrasına getirin ve init=/bin/bash. parametresini ekleyin Ardından, kök dosya sistemini salt okunur (ro) erişim haklarıyla bağlayarak tek kullanıcı modunda önyüklemeyi etkinleştirmek için Ctrl + x tuşlarına basın. Parolayı sıfırlamak için erişim hakkını salt okunurdan okuma-ya...
Devamı

Pardus Etap 23 Yazıcı Kurulumu

-
Resim
1. CUPS Nedir? CUPS , "Common UNIX Printing System" (Yaygın UNIX Yazdırma Sistemi) kelimelerinin baş harflerinden oluşur.  Temel Görevi: Pardus gibi UNIX tabanlı işletim sistemleri için standart yazdırma sunucusudur. Bilgisayarınızdaki uygulamalardan (LibreOffice, tarayıcı vb.) gelen yazdırma isteklerini alır, bunları yazıcının anlayacağı dile (genellikle PCL veya PostScript) çevirir ve sıraya koyarak yazıcıya gönderir. Geliştirici: İlk olarak Michael Sweet tarafından geliştirildi, daha sonra Apple Inc. tarafından desteklendi ve günümüzde OpenPrinting topluluğu tarafından sürdürülüyor. Ağ Paylaşımı: CUPS'ın en güçlü yanlarından biri, bir yazıcıyı ağdaki diğer bilgisayarlara (Windows, macOS veya başka bir Linux) kolayca paylaştırabilmesidir. Yönetim Arayüzü: En karmaşık ayarları bile yapabilmenizi sağlayan, tarayıcı üzerinden çalışan yerel bir web arayüzüne sahiptir ( http://localhost:631 ). Pardus, Debian tabanlı olduğu için CUPS'ı varsayılan yazdırma sistemi ol...
Devamı