2138828

Systemtools unter Mojave: Mehr Sicherheit, aber weniger Komfort

01.07.2019 | 13:30 Uhr | Stephan Wiesend

Sicherheitsfunktionen wie "Rootless" machten schon unter OS X 10.11 einige bewährte Systemtools obsolet – wir zeigen, was unter Mojave noch nutzbar ist und was nicht.

Systemerweiterungen installieren

Noch unter El Capitan führte Apple eine neue Sicherheitsfunktion ein, die so genannte System Integrity Protection oder auch "Rootless" genannt. Systemordner und Prozesse werden besonders geschützt, vor allem Kernel-Erweiterungen können nur noch mit einem Apple-Zertifikat installiert werden. Der Hintergrund: Zuvor war dies dem so genannten root-Benutzer möglich , was die einfache Installation von Systemerweiterungen ermöglichte (der Nutzer musste nur sein Kennwort eingeben) aber auch Hackern Angriffe ermöglichte. Noch restriktiver wurde die Installation von Systemerweiterungen. Ab High Sierra verlangt das System außerdem bei Installation einer Kernel-Erweiterung eine ausdrückliche Erlaubnis des Benutzers – über die Systemeinstellung Sicherheit. Was man wissen sollte: Zieht man mit seinen Daten auf einen neuen Mac um, muss man diese Erlaubnis auf dem neuen Rechner erneut erteilen.

Ein Nebeneffekt ist, dass ein sehr altes Tool zwar noch funktionieren kann, mangels Signatur aber nicht mehr installierbar ist. So benötigen auch Open-Source-Treiber seit El Capitan eine so genannte Signierung, die Signatur eines bei Apple registrierten Entwicklers. Der beliebte Sound-Treiber Soundflower wurde deshalb anfangs von der Firma Rogue Amoeba signiert und bereitgestellt, aktuell führt dies der Entwickler Matt Ingalls weiter. Auch eine Version für Mojave ist bereits verfügbar .

Die zusätzliche Sicherheitsabfrage bei der Installation einer Kernel-Extension führte aber allein schon durch ihre Existenz bei vielen Programmen zu Installationsproblemen – weil die Nutzer die Abfrage übersahen und deshalb die Installation fehlschlug.

Von den Problemen einiger Audio-Firmen wie Steinberg mit Mojave wollen wir lieber gar nicht anfangen, das wäre ein eigener Artikel. Bei den Systemtools standen in den letzten Jahren aber viele Entwickler vor der Aufgabe, neue Konzepte zu entwickeln, um ihr Tool mit aktuellen Systemversionen kompatibel zu machen. Den anderen Weg gingen etwa die Autoren von Total Finder: Das Tool wird aber doch weiter angeboten, setzt aber nun einfach die Deaktivierung von SIP voraus – nach unserer Meinung ein zu hoher Preis für die Nutzung.

Tipp: Ob die Schutzfunktion aktiv ist, sehen Sie durch Angabe des Terminal-Befehls „csrutil status“. Ist der Schutz aktiv, sehen Sie die Meldung „System Integrity Protection status: enabled“. Deaktivieren kann man diesen Schutz nur über die Recovery-Partition. Was wir aber nicht empfehlen! Die neuen Schutzfunktionen sind ein wertvoller Schutz gegen Malware und Spyware.

Die Installation einer Systemerweiterung muss man nun eigens über die Systemeinstellung Sicherheit erlaubne.
Vergrößern Die Installation einer Systemerweiterung muss man nun eigens über die Systemeinstellung Sicherheit erlaubne.

Aber auch alte Versionen eines Systemtools, etwa eines Backup-Programms wie CCC können betroffen sein.

32-Bit-Warnung

Nicht mehr gepflegte Tools erkennt man aber auch auf eine andere Weise: Sie zeigen ein Warnfenster, das das baldige Ende von 32-Bit-Apps ankündigt. Auch hier zeigt sich bei alten Tools, ob sie noch einen zuständigen Programmierer finden. Besser Chanchen haben hier anscheinend kostenplichtige Tools, wie 20 Dollar teure Produktivitäts-Tool Butler: Es wurde seit Jahren kaum weiter verbesserte, seit September gibt es aber zumindest eine 64-Bit-Version.

Backup-Programme

Bei den meisten Anwendern hat sich zwar Time Machine durchgesetzt, für Backups auf ein Netzlaufwerk oder das Klonen von Systemen gibt es aber immer noch Bedarf für Apps wie Super Duper und Carbon Copy Cloner. Nutzt man ein Backup-Programm eines Drittherstellers, sollte man die Unterstützung von Sierra überprüfen. Auch Backup-Programme  sind von den neuen Schutzfunktionen betroffen, so mussten Super Duper und Carbon Copy Cloner schon unter El Capitan auf die neuen „Rootless“-Sicherheitsfunktionen und die neue Rechte-Verwaltung optimiert werden. Eine weitere Hürde war die Einführung von APFS, das Apple nur sehr spärlich dokumentiert hat. Mittlerweile sind aber die aktuellen Versionen der bekannteren Backup-Programme damit kompatibel.

So kann die aktuelle Version des Carbon Copy Cloner bei einem Backup die Schutzfunktion für bestimmte Ordner neu aktivieren, bzw. das Attribut „com.apple.rootless“ mit kopieren.

Das Sync-Tool Chrono Sync ist ab Version 4.9 mit Mojave und APFS kompatibel. Alte Versionen des Backup-Programms Get Backup machen bei neueren OS-Versionen offensichtlich einige Probleme. Wegen vieler Einschränkungen durch Sandbox-Regeln hatte der Hersteller Belight Software ihr Programm deshalb kürzlich aus dem App Store entfernt. Es ist aber weiterhin über die Webseite verfügbar und unterstützt ab Version 3.4.7 neben Mojave und APFS auch den Dark Mode.

Ob SIP aktiv ist, überprüft man mit einem Terminal-Befehl.
Vergrößern Ob SIP aktiv ist, überprüft man mit einem Terminal-Befehl.

SSDs pflegen unter Mojave

Ersetzt man in einem Mac eine lahme Festplatte oder kleine SSD gegen eine SSD eines Drittherstellers wie Crucial oder Samsung, wird die so genannte Trim-Funktion nicht automatisch unterstützt. Bei längerer Benutzung kann der Verzicht dieser Aufräum-Routine aber zu Performance-Einbußen führen. Bei früheren Betriebssystemen musste man noch mit Tools wie Trim Enabler oder Chameleon SSD den  Festplattentreiber des Systems verändern. Glücklicherweise ist dies nicht mehr notwendig, man kann Trim für Nicht-Apple-SSDs jetzt mit einem simplen Terminalbefehl aktivieren. Unter 10.14 würde die alte Methode sowieso nicht funktionieren, da nur noch signierte Kernel-Erweiterungen nutzbar sind.

Anleitung: Trim aktiviert man für eine SSD eines Drittherstellers mit dem Terminalbefehl "sudo trimforce enable". Man muss den Befehl nun nur noch mit der Eingabe seines Kennworts bestätigen. Eine Deaktivierung erfolgt dann über den Befehl "sudo trimforce disable". Schade: Bei vielen Macs verlangsamt die Aktivierung von Trim den Bootvorgang deutlich, da eine zusätzliche Prüfung erfolgt.

Zusatzinfos über die Hardware abrufen.

Jeder Mac verfügt über interne Sensoren, die Temperaturdaten von Komponenten und andere Informationen anzeigen. Immer wieder aber haben Analyseprogramme Probleme mit neuen Mac-Modellen. Bei nagelneuen Geräten kann man sich deshalb nicht immer auf die Daten verlassen. Das Menüleistensymbol für den Akku zeigt die wichtigsten Angaben, weitere Informationen liefert das Dienstprogramm Systemprofiler. Noch mehr Informationen liefert aber das mit dem aktuellen System kompatible Tool Coconut Battery , das auch das Alter und die Belastung eines Energiespeichers anzeigt. Die (verbliebene) Kapazität eines angeschlossenen iPad oder iPhone kann man mit dem Tool ebenfalls auslesen. Zusätzlich kann man sich von der Freeware warnen lassen, wenn der Akku sehr heiß wird. Vor allem bei älteren Akkus und Modellen von Drittherstellern scheint dies ratsam - oder bei einem Macbook ohne internen Lüfter. Ist doch das Überhitzen des Akkus nicht nur für die Lebensdauer des Akkus und Macs interessant, sondern lässt auch die Lüfter anspringen. Davon sind aber eher ältere Macbook Pro betroffen.

Eine Anzeige des Lüfter-Tempos und die Möglichkeit der Tempo-Einstellung liefert das Tool Macs Fan Control , das vor allem für die Anzeige und Einstellung der Lüfter-Geschwindigkeit gedacht ist. Die laufend aktualisierte Version ist vor allem bei iMac-Anwendern beliebt, die nach dem Einbau einer SSD unter einem permanent laufenden Lüfter leiden. Nützlich für manche Bootcamp-Anwender ist nebenbei die Windows-Version. Sie kann aber auch sehr hilfreich für Besitzer eines Macbook Pro oder Mac Mini sein, das sich zu schnell überhitzt. So sollte man bei manchem Mac Mini mit selbst erstellten Fusion Drive lieber eine etwas höhere Lüftergeschwindigkeit einstellen. Aber auch als reines Analyse-Tool finden wir das Programm sehr hilfreich. Lästig aber notwendig: Gibt es eine neue Version, wird die alte Programmversion aus Sicherheitsgründen automatisch deaktiviert.

Das Hauptfenster zeigt die Temparatur der wichtigsten Komponenten.
Vergrößern Das Hauptfenster zeigt die Temparatur der wichtigsten Komponenten.

In sehr warmen Umgebungen oder bei stundenlangem Rendern von Videos ist eine Überwachung der Temperatur sinnvoll. Bei Modellen vor 2012 war der Temperaturmonitor von Marcel Bresink hier sehr nützlich, bei neueren Modellen hat Apple die Sensortechnologie geändert. Auch unter Mojave läuft dagegen der per App Store verfügbar System Monitor von Bresink, das der Hersteller an Apples Vorschriften angepasst hat. Das Tool zeigt nun in der Menüleiste Systemdaten an. Neben Temperatursensoren, Akku-Daten, Lüfter-Drehzahl, Spannungs- und Stormsensoren kann es unter anderem die Daten der Netzwerkanschlüsse auswerten.

Aufwendig und komplex ist die Steuerung der CPU-Leistung – bei wenig Last aber auch hohen Temperaturen wird die CPU sofort heruntergetaktet. Manchmal kann aber auch ein unerwarteter Grund dieses Heruntertakten verursachen. Infos darüber sammelt auch bei neuen Macs das Intel Power Gadget , ein Analyseprogramm von Intel. Nach Installation eines Treibers (Bestätigung in der Systemeinstellung Sicherheit nötig) zeigt das Tool in Echtzeit, mit welchem CPU-Takt der Prozessor gerade läuft und wie viel Strom verbraucht wird. Man kann damit etwa feststellen, ob die CPU gerade durch Überhitzung heruntergefahren wird, was plötzliche Leistungseinbußen erklärt.

Das Intel Power Gadget läuft auch unter 10.14
Vergrößern Das Intel Power Gadget läuft auch unter 10.14

Smart-Daten abrufen

Jede neuere Festplatte kann über die Funktion SMART Daten über ihre Funktionsfähigkeit liefern, etwa die aktuelle Temperatur und die bereits abgeleisteten Stunden. Der Sinn von SMART-Analysedaten ist zwar umstritten, so können selbst Festplatten mit perfekten Daten plötzlich ausfallen. Umgekehrt sollte man aber eine Festplatte, die per SMART defekte Sektoren oder andere Schäden anzeigt, sofort austauschen. Beim Start des Festplattendienstprogramms wird der Status automatisch überprüft, Fehler zeigt das System nur bei SMART-Warnungen. Fast noch interessanter finden wir aber die Möglichkeit, Informationen über externe Festplatten abzurufen. Man erfährt etwa, wie heiß eine USB-Festplatte nach mehreren Stunden Nutzung wird und ob eine für Time Machine verwendete Platte besser ausgetauscht werden sollte. Das ist nicht unwichtig, da manche externe Festplatten und SSD oft gar nicht oder sehr schlecht gekühlt werden.

Das Festplattendienstprogramm zeigt auch den SMART-Status an.
Vergrößern Das Festplattendienstprogramm zeigt auch den SMART-Status an.

Smart-Daten einer USB-Festplatte auszulesen, etwa einer älteren Time Machine-Festplatte, ist unter OS X eigentlich nicht vorgesehen. Es gibt aber von der Software-Firma Binary Fruit eine Spezial-Version eines Open Source-Festplattentreibers. Mit diesem kann man auch viele externe Festplatten testen bzw. Temperatur und Laufleistung einschätzen –  mit beliebigen SMART-Tools.

Fazit:

Mojave bietet sinnvolle neue Sicherheitsfunktionen, problematisch ist dies aber für Treiber und Open-Source-Systemtools. Bei wichtigeren Erweiterungen scheint sich wie bei Soundflower aber dann doch ein Mac-Entwickler zu finden, der eine Version mit Signierung bereitstellt.

Macwelt Marktplatz

2138828