2138828

"Rootless" in Sierra: Mehr Sicherheit, weniger Tools

05.11.2015 | 15:11 Uhr |

Sicherheitsfunktionen wie "Rootless" machten schon unter OS X 10.11 einige bewährte Systemtools obsolet – wir zeigen, was unter Sierra noch funktioniert und was nicht.

Mit El Capitan führte Apple ein neue Sicherheitsfunktion ein, die so genannte System Integrity Protection. Einige Systemordner und Prozess werden besonders geschützt, vor allem Kernel-Erweiterungen können nur noch mit einem Apple-Zertifikat installiert werden. Das hat auch Auswirkungen auf einige Systemtools. Alte Treiber von Open-Source-Entwicklern werden unter OS X 10.11 und Sierra geblockt, dazu gehören alte Versionen des Sound-Treiber Soundflower   aber auch lange nicht mehr aktualisierte Gerätetreiber für WLAN-Karten und Scanner von Epso n und Canon. Von den Problemen einiger Audio-Firmen wie Steinberg wollen wir lieber gar nicht anfangen. Bei den Systemtools gibt es aber einige wichtige Änderungen, so ist etwa das SSD-Tool Trim Enabler kaum noch verwendbar, aber auch Backup-Programme wie CCC können betroffen sein. Die Autoren von Total Finder haben die Weiterentwicklung unter El Capitan ganz aufgegeben. Dafür gibt es von Sound Flower mittlerweile eine Version mit Signierung, die sich jetzt auch in den von Apple dafür vorgesehen Ordner Library/Extensions installierte (statt /System/Library/Externsions).

Backup-Programme

Bei den meisten Anwendern hat sich zwar Time Machine durchgesetzt, für Backups auf ein Netzlaufwerk oder das Klonen von Systemen gibt es aber immer noch Bedarf für Super Duper und Carbon Copy Cloner. Nutzt man ein Backup-Programm eines Drittherstellers, sollte man die Unterstützung von Sierra überprüfen. Auch Backup-Programme  sind von den neuen Schutzfunktionen betroffen, so mussten Super Duper und Carbon Copy Cloner schon unter El Capitan auf die neuen „Rootless“-Sicherheitsfunktionen und die neue Rechte-Verwaltung, optimiert.

Das Sync-Tool Chrono Sync musste für Sierra aktualisiert werden, allerdings wegen Problemen mit der iCloud-Synchronisierung. Alte Versionen des Backup-Programms Get Backup machen bei neueren OS-Versionen offensichtlich ebenfalls einige Probleme. Anscheinend ist die Anpassung aber meist nur marginal. So kann die aktuelle Version des Carbon Copy Cloner bei einem Backup die Schutzfunktion für bestimmte Ordner neu aktivieren, bzw. das Attribut „com.apple.rootless“ mit kopieren.

Tipp: Ob die Schutzfunktion aktiv ist, sehen Sie durch Angabe des Terminal-Befehls „csrutil status“. Ist der Schutz aktiv, sehen Sie die Meldung „System Integrity Protection status: enabled“. Deaktivieren kann man diesen Schutz nur über die Recovery-Partition. Was wir aber nicht empfehlen! Die neuen Schutzfunktionen sind ein wertvoller Schutz gegen Malware und Spyware.

Ob SIP aktiv ist, überprüft man mit einem Terminal-Befehl.
Vergrößern Ob SIP aktiv ist, überprüft man mit einem Terminal-Befehl.

SSDs pflegen unter Sierra

Ersetzt man in einem Mac die vorinstallierte lahme Festplatte gegen eine schnelle SSD, wird die so genannte Trim-Funktion nicht unterstützt. Bei längerer Benutzung kann der Verzicht dieser Optimierungs-Routine aber zu Performance-Einbußen führen. Bei früheren Betriebssystemen nutzten deshalb viele Anwender Tools wie Trim Enabler oder Chameleon SSD, die für die Aktivierung von Trim einen zentralen Festplattentreiber des Systems veränderten. Glücklicherweise ist dies seit Yosemite nicht mehr notwendig, man kann Trim für Nicht-Apple-SSDs jetzt mit einem simplen Terminalbefehl ändern.  Unter Sierra würde die alte Methode sowieso nicht funktionieren, da nur noch signierte Kernel-Erweiterungen nutzbar sind. Bei einem Neustart könnte der Festplattentreiber nicht mehr geladen werden, außer man deaktiviert die neue Schutzfunktion.

Tipp: Trim aktiviert man ab OS X 10.10 mit dem Terminalbefehle "sudo trimforce enable". Man muss den Befehl nun nur noch mit der Eingabe seines Kennworts bestätigen.

Zusatzinfos über die Hardware abrufen.

Jeder Mac verfügt über interne Sensoren, die Temperaturdaten von Komponenten und andere Informationen anzeigen. Immer wieder aber haben Analyseprogramme Probleme mit neuen Mac-Modellen. Bei nagelneuen Geräten kann man sich deshalb nicht immer auf die Daten verlassen. Das Menüleistensymbol für den Akku zeigt die wichtigsten Angaben, weitere Informationen liefert das Dienstprogramm Systemprofiler. Noch mehr Informationen liefert aber das mit dem aktuellen System kompatible Tool Coconut Battery , das auch das Alter und die Belastung eines Energiespeichers anzeigt. Die (verbliebene) Kapazität eines angeschlossenen iPad oder iPhone kann man mit dem Tool ebenfalls auslesen. Zusätzlich kann man sich von der Freeware warnen lassen, wenn der Akku sehr heiß wird. Vor allem bei älteren Akkus und Modellen von Drittherstellern scheint dies ratsam - oder bei einem Macbook ohne internen Lüfter. Ist doch das Überhitzen des Akkus nicht nur für die Lebensdauer des Akkus und Macs interessant, sondern lässt auch die Lüfter anspringen. Davon sind aber eher ältere Macbook Pro betroffen.

Eine Anzeige des Lüfter-Tempos und die Möglichkeit der Tempo-Einstellung liefert das Tool Mac Fan Control , das vor allem für die Anzeige und Einstellung der Lüfter-Geschwindigkeit gedacht ist. Die jetzt für El Capitan aktualisierte Version ist vor allem bei iMac-Anwendern beliebt, die nach dem Einbau einer SSD unter einem permanent laufendem Lüfter leiden. Nützlich für manche Bootcamp-Anwender ist nebenbei die Windows-Version. Sie kann aber auch sehr hilfreich für Besitzer eines Macbook Pro oder Mac Mini sein, das sich zu schnell überhitzt. So sollte man bei manchem Mac Mini mit selbst erstellten Fusion Drive lieber eine etwas höhere Lüftergeschwindigkeit einstellen. Aber auch als reines Analyse-Tool ist das Programm sehr hilfreich. Lästig aber notwendig: Gibt es eine neue Version, wird die alte Programmversion aus Sicherheitsgründen automatisch deaktiviert.

In sehr warmen Umgebungen oder bei stundenlangem Rendern von Videos ist eine Überwachung der Temperatur sinnvoll. Bei Modellen vor 2012 ist der Temperaturmonitor von Marcel Bresink hier sehr nützlich, bei neueren Modellen hat Apple die Sensortechnologie geändert. Auch unter Sierra läuft dagegen die Shareware Hardwaremonitor von Bresink, die neben Temperatursensoren, Akku-Daten, Lüfter-Drehzahl, Spannungs- und Stormsensoren unter anderem die Daten der Umgebungslichtsensoren auswertet. Die aktuelle Version hat kleinere Darstellungsfehler, die laut Programmierer an bekannten Defekten von Sierra liegen. Es gibt auch einige Tools von Bresink im App Store, diese haben aber durch die für App Store-Programme geltenden Einschränkungen leider wenig Auswertungsmöglichkeiten – was aber alle so genannten Systemtools im App Store betrifft.

Aufwendig und komplex ist die Steuerung der CPU-Leistung – bei wenig Last aber auch hohen Temperaturen wird die CPU sofort heruntergetaktet. Manchmal kann aber auch ein unerwarteter Grund dieses Hertuntertakten verursachen. Infos darüber sammelt auch bei neuen Macs das Intel Power Gadget , ein Analyseprogramm von Intel. Nach Installation eines Treiber zeigt das Tool in Echtzeit, mit welchem CPU-Takt der Prozessor gerade läuft und wie viel Strom verbraucht wird. Man kann damit etwa feststellen, ob die CPU gerade durch Überhitzung heruntergefahren wird, was plötzliche Leistungseinbußen erklärt.

Smart-Daten abrufen

Jede neuere Festplatte kann über die Funktion SMART Daten über ihre Funktionsfähigkeit liefern, etwa die aktuelle Temperatur und die bereits abgeleisteten Stunden. Der Sinn von SMART-Analysedaten ist zwar umstritten, so können selbst Festplatten mit perfekten Daten plötzlich ausfallen. Umgekehrt sollte man aber eine Festplatte, die per SMART defekte Sektoren oder andere Schäden anzeigt, sofort austauschen. Beim Start des Festplattendienstprogramms wird der Status automatisch überprüft, Fehler zeigt das System nur bei SMART-Warnungen. Fast noch interessanter finden wir aber die Möglichkeit, Informationen über externe Festplatten abzurufen. Man erfährt etwa, wie heiß eine USB-Festplatte nach mehreren Stunden Nutzung wird und ob eine für Time Machine verwendete Platte besser ausgetauscht werden sollte. Das ist nicht unwichtig, da manche externe Festplatten und SSD oft gar nicht oder sehr schlecht gekühlt werden.

Das Festplattendienstprogramm zeigt auch den SMART-Status an.
Vergrößern Das Festplattendienstprogramm zeigt auch den SMART-Status an.

Smart-Daten einer USB-Festplatte auszulesen, etwa einer älteren Time Machine-Festplatte, ist unter OS X eigentlich nicht vorgesehen. Es gibt aber von der Software-Firma Binary Fruit eine Spezial-Version eines Open Source-Festplalttentreibers. Mit diesem kann man auch viele externe Festplatten testen bzw. Temperatur und Laufleistung einschätzen –  mit beliebigen SMART-Tools.

Fazit:

El Capitan bietet sinnvolle neue Sicherheitsfunktionen, problematisch ist dies aber für Treiber und Open-Source-Systemtools. Bei wichtigeren Erweiterungen scheint sich wie bei SATSMART aber dann doch ein Mac-Entwickler zu finden, der eine Version mit Signierung bereitstellt.

0 Kommentare zu diesem Artikel
2138828