Sedan ett par år tillbaka har Mac OS ett nytt säkerhetssystem som kallas System Integrity Protection (SIP). Det ska se till att obehöriga inte gör ändringar i systemet, att program inte kan installera kernel-pluginer utan certifiering från Apple, och en del andra saker. Inte ens en användare med root-behörighet kan göra ändringar i mappar som skyddas av SIP.

Det finns situationer då du kan behöva stänga av SIP, till exempel för att köra ett program som måste använda en kernel-plugin men vars utvecklare inte har ett certifikat från Apple. Men för de flesta användare ger SIP ett bra extra skydd mot skadeprogram (och självförvållade problem som kan uppstå om du gör ändringar i systemmappen).

Men om nu SIP ger ett så gott skydd, vore det inte bra om du själv kunde skydda filer och mappar? Om du har filer, program eller annat du vill bevara oförändrade som de är, utan risk för att du själv eller någon annan gör ändringar eller raderar dem. Faktum är att det går, även om det inte är uppenbart hur du gör.

Stäng av SIP tillfälligt

För att kunna lägga till nya filer och mappar i det som skyddas av SIP måste du tillfälligt stänga av skyddet. Det gör du genom att starta Macen i återställningsläget (håll nere cmd-r medan du startar den), öppna Terminal från Verktyg-menyn och skriv in kommandot csrutil disable följt av retur.

Starta sedan om till det vanliga systemet igen och öppna Terminal. För att lägga till en mapp eller fil i SIP-skyddet använder du följande kommando:

sudo chflags restricted /sökväg/till/filen

Om du vill skydda en mapp och alla dess undermappar kan du lägga till -R för att lägga till restricted-flaggan rekursivt.

sudo chflags -R restricted /sökväg

Som vanligt i Terminal behöver du inte skriva in sökvägen för hand. Du kan istället dra och släppa mappen eller filen i fråga på Terminal-fönstret när du har skrivit det sista mellanslaget efter restricted.

Vill du ta bort skyddet använder du samma kommando men norestricted istället för restricted.

När du är klar aktiverar du SIP igen på samma sätt som du stängde av det, men med kommandot csrutil enable.

Obs! För att ingen ska kunna komma åt dina filer genom att bara starta datorn från en extern skiva måste du ha Filevault aktiverat (Systeminställningar -> Säkerhet och integritet) så att den interna lagringen är säkert krypterad.