Viena didžiausių ilgalaikių “macOS” problemų buvo jos nepatikimumas – turiu omenyje ne klaidas, o tai, kad iki prieš metus niekada nežinojote, ar jūsų “Mac” sistema nepažeista, ar sugadinta. Tai pasikeitė išleidus “Big Sur” ir toliau gerėja. Šiame straipsnyje paaiškinama, kas įvyko ir kaip tai veikia jūsų naudojimąsi “MacOS”. Jis ypač skirtas tiems, kurie naudojo senesnes “macOS” versijas ir staiga susidūrė su “Monterey”, pavyzdžiui, naujame “MacBook Pro M1 Pro/Max”.
Patikima failų sistema
Kad suprastumėte, kas nutiko, atkreipkite dėmesį į “Mac OS” ir “macOS” pakeitimus nuo “Sierra”. Pirma, “High Sierra” įdiegta nauja failų sistema APFS. Jos pirmtakė HFS+ tarnavo ilgai ir gerai, ir, kaip žinoma, turėjo keletą įsisenėjusių trūkumų. Vienas iš svarbiausių APFS patobulinimų – failų sistemos pakeitimus padaryti patikimesnius naudojant kopijavimą įrašant. Jei HFS+ reikia žurnalų ir dažnos priežiūros, ir net tada dažnai lieka nedidelių klaidų failų sistemoje, tai APFS sukurta taip, kad būtų visiškai patikima.
“Mojave” sistemoje “macOS” pasiekė aukščiausią lygį įkraunant iš vieno tomo, kurio išdėstymas iš esmės panašus į daugelio “Unix” versijų.
Daugelis šios sistemos aplankų yra apsaugoti SIP, tačiau visi jie yra bendroje failų sistemoje, diegiami ir atnaujinami kartu, o vientisumas netikrinamas. Kaip ir ankstesnėse versijose, vienas populiariausių įvairių problemų sprendimo būdų buvo iš naujo įdiegti sistemą. Dažnai tai pasiteisina, nes mažai kas apsaugo sistemos failus nuo sugadinimo ir nėra jokių priemonių nustatyti, ar jie buvo sugadinti.
Įkrovos tomų grupė
“Catalina” žengė tarpinį žingsnį šalinant šiuos trūkumus, nes įkrovos tomą padalijo į du tomus – tai dar viena nauja APFS funkcija. Vienas iš jų, kuris keičiasi tik per “MacOS” atnaujinimus ir diegimą, tapo sistemos tomeliu ir yra prijungtas tik skaitymui; kitame, duomenų tome, yra visi įrašomi failai, įskaitant naudotojo pagrindinius aplankus ir tas sistemos dalis, kurios gali keistis tarp atnaujinimų.
Mūsų “Mac” kompiuteriuose vyko ir kiti pokyčiai. Jei “Mojave” buvo galima įdiegti ir įkrauti tik iš HFS+ besisukančiame standžiajame diske, tai “Catalina” reikia įkrauti iš APFS, o tam savo ruožtu reikia SSD. Vis dar galima įkrauti “Big Sur” ir net “Monterey” iš kietojo disko, bet tai ne per pasirinkimą. Be greičio, SSD diskai suteikė papildomų privalumų – didesnį patikimumą ir tai, kad jie neturi blogo fragmentiškumo poveikio. Į “Mac” kompiuterius su vidiniais SSD diskais taip pat įdiegta “Secure Boot” (T2 lustai, o pastaruoju metu – integruota “Secure Boot” M1 serijos lustuose). Toliau kalbėsiu apie “Mac” kompiuterius su “Secure Boot”; “Intel Mac” kompiuteriai be T2 lustų turi mažiau privalumų.
Sandarios sistemos apimtis
“Big Sur” užbaigė transformaciją. Atskiras “Catalina” sisteminis tomas tapo uždaro tipo momentine kopija, dar labiau apsaugančia sisteminius failus, o tai naudoja ir “Monterey”.
Šioje supaprastintoje “Monterey” įkrovos tomų grupės schemoje aplankai, saugomi sistemos tome, pažymėti raudona spalva, o duomenų tome – mėlyna. Toks išdėstymas skirsto sistemos turinį į failus, kurie nesikeičia, išskyrus “macOS” atnaujinimą, ir visus kitus failus, kurie keičiasi. Mano mėgstamiausias to pavyzdys – anksčiau buvęs vienas aukščiausio lygio aplankas “Applications”, į kurį sudėtos kartu su “macOS” įdiegtos programos ir mūsų pačių iš “App Store” ir interneto atsisiųstos programos.
Monterėjuje tai, kas “Finder” atrodo kaip vienas aplankas su tuo pačiu turiniu, iš tikrųjų susideda iš dviejų aplankų: viename sistemos tome yra programėlės, įdiegtos kaip “macOS” dalis, kitame duomenų tome – mūsų įdiegtos programėlės. Šie du aplankai yra tvirtai susieti tarpusavyje ir “Finder” sukuria iliuziją, kad tai tik vienas aplankas.
Šie nekintami sistemos failai ne tik saugomi atskirame “System” tome, bet ir “Mac” nebeįsikrauna iš jo kaip iš įprasto tomelio: iš tikrųjų tai yra momentinė nuotrauka – dar viena APFS modernizacijos funkcija, dėl kurios visa tai tapo įmanoma. Galbūt geriausiai tai galima suprasti, kai pagalvojame, kas vyksta, kai “MacOS” įdiegiama arba atnaujinama Big Sure arba Monterėjuje.
Diegimo pradžioje duomenų tomas atjungiamas, taip užtikrinant, kad jo turinys būtų apsaugotas nuo bet kokio blogo nepavykusio diegimo poveikio. Sistemos tomas prijungiamas rašymui ir išjungiamas SIP, tada į jį įrašomas atnaujinimo turinys, kaip ir “Mojave” sistemoje. Kai visi atnaujinti sistemos failai yra vietoje, kiekvienam sistemos failui apskaičiuojamas SHA-256 hash ir išsaugomas jo failų sistemos metaduomenyse. Tuomet kiekviena hash grupė dar kartą sugretinama ir taip toliau, kol gaunamas vienas aukščiausio lygio hash, vadinamas antspaudu.
Jei bet kuriame iš šių sistemos failų pasikeičia nors vienas bitas, pasikeičia ir to failo hash, kuris nebesutampa su nustatyta verte. Ši klaida plinta aukštyn medžiu, ir pats “Seal” nebeatitinka “Apple” nustatytos “MacOS” versijos. Kai taip atsitinka, plomba pažeidžiama, ir tas “Mac” nebegali įsijungti iš tos “macOS” kopijos, todėl pereina į atkūrimo režimą, kad naudotojas galėtų iš naujo įdiegti “macOS”. Todėl plomba užtikrina kiekvieno bito vientisumą kiekviename sistemos tome esančiame faile.
Užuot įkrovus kompiuterį iš to užantspauduoto “System” tomo, diegimo programa padaro “System” tomo momentinę nuotrauką, kurioje yra visi hash’ai ir pats antspaudas. Įjungus SIP, Sistemos tomas atjungiamas ir “MacOS” paleidžiama iš šio momentinio vaizdo. Momentinės kopijos yra nekeičiamos, nes net “macOS” negali jų pakeisti – tai daug stipresnė apsauga nei “System” tomo prijungimas tik skaitymui, kaip “Catalina”. Duomenų tomas prijungiamas, ir visi jame atlikti pakeitimai užbaigiami šio įkrovimo metu.
Iki Monterėjaus, modeliams su “Secure Boot”:
- Jūsų “Mac” bus įkraunamas tik iš “System” tomo momentinės nuotraukos, kurios niekaip negalima pakeisti.
- Jūsų “Mac” bus įkraunamas tik iš apsaugoto sistemos disko, kuris paskutine dalimi sutampa su “Apple” nustatytuoju.
- Niekas, išskyrus “macOS” diegimo ir (arba) atnaujinimo programą, negali pakeisti “System” tomo.
- Didžiąją dalį arba visą “macOS” atnaujinimo / diegimo procesą “Data” tomas yra nemontuotas, todėl jam negali turėti įtakos atnaujinimo / diegimo metu kylančios problemos.
- Visa tai vyksta SSD diske, pasižyminčiame dideliu patikimumu.
- Naudojama APFS failų sistema, pasižyminti dideliu patikimumu.
- Tačiau tai netrukdo naudotojams daryti radikalių dalykų, pavyzdžiui, kurti savo branduolį. Saugųjį įkrovimą galima išjungti, o M1 serijos “Mac” kompiuteriuose siūlomi trys skirtingi “Startup Security Utility” nustatymai, kurie tinka beveik visiems.
Taigi, kaip patikrinti, ar jūsų “MacOS” diegimas yra gamyklinis, ar nėra pažeistas arba sugadintas? Tiesiog iš naujo paleiskite “Mac”: jei antspaudas pažeistas, turėtumėte labai greitai apie tai sužinoti, bent jau “Mac” kompiuteriuose su “Secure Boot”, kai ši funkcija visiškai įjungta.
Apribojimai
Užplombuotas sistemos tomas (Sealed System Volume, SSV) skirtas sistemos tome esančių sistemos komponentų vientisumui užtikrinti, tačiau šiuo metu neapima nei duomenų tome saugomų sistemos komponentų, nei jame esančių naudotojo failų. Kadangi “Mac” kenkėjiška programinė įranga paprastai nesistengia pažeisti to, kas dabar yra sistemos tome, vis tiek galite patirti rimtą kenkėjiškos programinės įrangos ataką, o “Secure Boot” nesuteiks jokios apsaugos. Taip pat gali būti pažeisti ar sugadinti Duomenų tome saugomi pagrindiniai failai arba jie gali būti užšifruoti išpirkos reikalaujančios programinės įrangos atakos metu (jei “Mac” išpirkos reikalaujanti programinė įranga vėl pasirodys).
Kita rimta problema – naudotojo įdiegti branduolio plėtiniai, kurie nėra Sistemos dalis, bet kuriems suteikiama prieiga prie giliausios branduolio erdvės citadelės. Dėl to jie ne tik kelia pavojų saugumui, bet ir pernelyg dažnai sukelia branduolio paniką. Todėl kūrėjai greitai pereina nuo branduolio plėtinių prie sistemos plėtinių, kurie veikia vartotojo erdvėje. Kad į M1 serijos “Mac” būtų galima įkelti trečiosios šalies branduolio plėtinį, reikia nustatyti, kad jis veiktų sumažintos apsaugos režimu, ir aiškiai leisti jį naudoti.
Praktinė svarba
Jei “Mac” kompiuteris, kuriame įjungta “Big Sur” arba “Monterey” su įjungta “Secure Boot” funkcija, įkraunamas įprastai, vadinasi, jo sistemos tomas yra puikios būklės. Kad ir kas su juo būtų negerai, pakartotinis sistemos tomo įdiegimas greičiausiai to neištaisys.
Jei pasibaigus “MacOS” atnaujinimui ar diegimui “Mac” įkraunamas normaliai su įjungta “Secure Boot” funkcija, jo “System” tomas yra puikios būklės. Jei įdiegti nepavyksta, geriausia įjungti atkūrimo režimą ir iš naujo įdiegti “macOS”. Jei tai pavyks, vėl galėsite pasitikėti įdiegtos Sistemos vientisumu.
Nors dar galima “klonuoti” Sistemos tomą, geriausias ir patikimiausias būdas įdiegti “Big Sur” arba “Monterey” į bet kurį diską yra naudoti “Apple” pilną diegimo programą, nes taip užtikrinama, kad įkrovos tomų grupė būtų sukurta teisingai, o Sistemos ir Duomenų tomai būtų tvirtai susieti.
Saugus paleidimas ir užplombuotas sistemos tomas apsaugo sistemos, o ne duomenų tomą. Svarbiausias būdas apsaugoti “Mac” kompiuterį apskritai yra nuolat atnaujinti “macOS”.
Neįdiekite trečiųjų šalių branduolio plėtinių, jei galite to išvengti. Ieškokite atnaujintos programinės įrangos, kuri juos pakeistų sistemos plėtiniais.
Daugiau naujienų
„Apple“ pristatė naują ‚MacBook Pro‘ liniją su M4, nano tekstūros ekranu, ‚Center Stage‘ kamera ir kt.
iOS 18.1 su apple intelligence jau čia
„Apple Intelligence“ planuoja startuoti Europos Sąjungoje su „iPhone“ ir „iPad“ kitų metų pradžioje.