Mac OS X 10.11+ Rootless 介绍

Rootless

Mac OS X 10.11+ (El Capitan) 以后，引入了 Rootless 安全机制，该机制限制了 root 用户的权限，有部分操作即使是 root 也无法执行。

该机制的详细介绍，请参考：
Wikipedia: System Integrity Protection
Apple: System Integrity Protection Guide

主要地限制有：

• 以下目录无法修改：
  /System, /bin, /sbin, 或者 /usr (/usr/local 除外)，以及内置 App 和系统工具 Utilities。
  具体的限制名单在 /System/Library/Sandbox/rootless.conf 文件中有定义，该文件行首的 * 表示该行记录不在限制之列
• 无法追踪调试系统进程
• 无法加载未经验证的内核扩展

可能引起的问题和解决方案

• 修改受限制的文件或文件夹

sudo cp -f FILE /usr/bin/

# 报错： cp: /usr/bin/FILE: Operation not permitted

解决方案：关闭 rootless，见下文

• 执行部分命令受挫

sudo gem install posix-spawn -v '0.3.11'

# 报错：
Building native extensions.  This could take a while...
ERROR:  While executing gem ... (Errno::EPERM)
    Operation not permitted - /usr/bin/posix-spawn-benchmark

解决方案：尝试执行 /usr/local/bin 里命令，或将命令文件复制到 /usr/local/bin 后再执行，例如

sudo gem install -n /usr/local/bin GEM-NAME

关闭 rootless

如果遇到的问题难以解决，也可以关闭 rootless 功能，彻底解决引起的权限问题，但是关闭 rootless 将会严重降低系统安全性，必须尽快重新开启。

关闭的步骤如下：

1. 重启 Mac 并按住 Command+R，进入恢复模式
2. 打开终端 Terminal
3. csrutil disable

开启的步骤：

1. 重启 Mac 并按住 Command+R，进入恢复模式
2. 打开终端 Terminal
3. csrutil enable

在 mac 终端直接键入 csrutil 可查看该命令的使用说明。