https://www.macfreak.nl/modules/news/images/macOS-Catalina-icoon.jpg
Het systeem in Catalina staat op een aparte read-only partitie
Dat Apple constant bezig is met alle besturingssystemen die uit Cupertino komen steeds veiliger te maken is niet voor niets, hackers zijn ook constant bezig met creatieve oplossingen te vinden om de beveiligingen van Apple op hun beurt weer te omzeilen.

Eén van die beveiligingen is System Integrity Protection, beter bekend als SIP, dat door Apple in 2015 in macOS 10.11 El Capitan werd geïntroduceerd. Datzelfde SIP gaat Apple in macOS 10.15 Catalina gebruiken om het systeem te beveiligen. Het systeem zal dan op een aparte partitie staan, hoewel de Finder net zal doen alsof dat niet zo is. Die partitie zal door SIP beveiligd zijn en dus standaard niet meer aangepast kunnen worden, het is read-only. 

https://www.macfreak.nl/modules/news/images/zArt.macOS-CatalineAparteSysteemPartitie.jpg
Het systeem in Catalina staat op een aparte read-only partitie

klik op de afbeelding voor een grotere versie

Dat klinkt als een erg verstandige beslissing, het zal voor kwaadwillenden daardoor weer wat lastiger worden om rottigheid uit te halen. En voor alle power-users die iets aan het systeem willen veranderen is er natuurlijk ook geen vuiltje aan de lucht, die zetten dan natuurlijk SIP gewoon even uit.

Daarbij ligt de nadruk trouwens wel op dat ‘even’. Als je SIP helemaal uit laat staan dan neem je erg veel risico, dat wordt dan ook beslist niet aangeraden.



Maandelijks trekt MacFreak meer dan 80.000 bezoekers, die hier gemiddeld bijna 4 minuten zijn. Al deze mensen zijn te bereiken door onder andere sponsoring, advertenties of pagelinks; de mogelijkheden daarvoor zijn op deze pagina te vinden.
geplaatst door: Robert
Als het inderdaad. nog steeds een kwestie is van SIP even uit en daarna weer aan zetten, dan vind ik dit een prima zet van Apple.
geplaatst door: GeorgeM
Beste,

Kan je dit even duiden ?

Welke Mappen horen precies bij het systeem dan ? Hoe zit het met /usr , /Applications en /opt ?

Wordt er gebruik gemaakt van mount points zoals de gewoonte in Unix based Systemen ?

Kan je dit even grafisch weergeven of in een eenduidige text weergave

Dank
geplaatst door: Macccampus
Ik snap ook nog niet zo goed wat het voordeel is van een aparte partitie t.o.v. de huidige werking van SIP.
Met de huidige SIP kun je toch ook niet schrijven in de systeem-mappen (zelfs niet als root) ?

Uiteraard is een read-only partitie wel weer een extra maatregel, maar het lijkt een beetje dubbelop.
geplaatst door: jaco123
Wat moet er verder geduid worden?

De afbeelding in het nieuwsbericht geeft toch al antwoord op die vraag?
geplaatst door: Robert
Beste Robert, ik weet niet wat jij van Unix-BSD/Linux kent maar die foto die een slide toont van op de Keynote zegt niks over de Unix mountpoints & over welke folders !

Ik zal anders eens een voorbeeld tonen van wat wel iets zou duiden: Dit is een FICTIEF voorbeeld Van bij een RANDOM Linux gebruiker

LABEL=/                 /                       ext3    defaults        1 1     <--- Toont ons hoofdmountpoint , dus de bootpartitie
LABEL=/boot             /boot                   ext3    defaults        1 2   <-- Label is hier boot, bij ons zou dit Macintosh HD zijn

/dev/sda5               /home                   ext3    defaults        1 2      <-- Sda5 partitie bevat home       
/dev/sda12              /tmp                    ext3    defaults        1 2
/dev/sda6               /usr                    ext3    defaults        1 2
/dev/sda7               /var                    ext3    defaults        1 2
/dev/sda2               swap                    swap    defaults        0 0  <-- Swap Partitie wordt Swap Volume
/dev/sda10              /iso                    ext2    defaults        0 0

server4:/pub            /server4                nfs     bg              0 0
/dev/hda                /media/cdrom            auto    pamconsole,exec,noauto,managed 0 0
/dev/sdb1               /media/usbdisk          ext3    pamconsole,exec,noauto,managed 0 0

Dit voorbeeld gaat verder want het mount zelfs netwerkschijven in een map op het hoofdbestandsysteem (/)

In dit voorbeeld is het echter nog steeds raden naar de inhoud van de partitie's sdaX doch hun muntpoints wijzen dit echter deels uit. In ons geval Catalina zou dus ook info gewensts zijn ivm de inhoud van de partitie's.

Wat met de /Applications die Apple vult met systeem Applicaties maar waar de gebruiker zelf ook Applicaties in installeert bijvoorbeeld.

En de /usr & /opt ?

Waarbij de eerste voor het grootste deel deel uitmaakt van het systeem maar bij mij bv nog steeds 3th-party contents bevat van Fuse filesystem, VirtualBox, Sophos Antivirus & ClamXAV, Wireshark & MCC(Mojave Cache Cleaner)

Gelukkig hebben enkele pakketten zich reeds verplaatst naar /opt/local, denk ik aan (b)eid (Belgische E-id) & Macports (oeps deze heeft de lokatie altijd al gebruikt)

Pasop, ik begrijp wel dat Fuse, VBox, Sophos, Wireshark & MCC, mogelijk ook ClamXAV doch dit is nog de oude versie dus mogelijks is dit bij hen reeds gecorrigeerd hier in de fout treden door nog steeds /usr te gebruiken en niet /opt/local


Misschien is het systeem dat Apple toepast helemaal niet op Mountpoints gebaseerd, doch als ze Unix certified willen zijn moet dit toch wel zo zijn, maar wordt er een andere truck gebruikt, ook in dat geval blijft de vraag op duin ivm de eerder genoemde folders.
geplaatst door: Macccampus
Macccampus, kan je het bovenstaande even duiden? Want ik kan er geen touw aan vast knopen.
geplaatst door: Flix
Dan ben jij vast geen Unix kenner en enkel geintreseerd in de Mac Grafische Interface en heeft het antwoord op de vraag ook weinig belang voor je.

Anders even een handleiding Unix erbij nemen, die vind je vast online
geplaatst door: Macccampus
@Macccampus: Als nieuw lid blaas je nogal hoog van de toren met je iwab reacties. Ik zou even inbinden als ik jou was. Het wordt over het algemeen niet zo gewaardeerd.

Ontopic: Mijns inziens zal alles waar root toegang voor nodig is op die read only komen. Ik neem aan dat we vanzelf meer details krijgen over wat precies op die aparte partitie gaat staan.
geplaatst door: macqintosh
iPhone 6+ 64GB / Apple TV 4 64GB / iMac 27" 5K (2017) / MacBook Pro 13" Retina (early 2015)
maw u weet het niet

Misschien weet Robert het ook nog niet
Misschien heeft Apple die informatie nog niet vrij gegeven

Doch

Misschien deed Apple dit wel en hebben jullie bronnen die die info kunnen verstrekken
Misschien wil ik het juist wel weten

En

Mac gebruiker sedert 1994
Unix gebruiker seders 1998
Macfreak lid in 2001 account in ongebruik geraakt wegens geen nood aan, nu wegens deze topic nieuwe account gemaakt

Het zou leuk zijn dat de antwoorden on topic bleven !
geplaatst door: Macccampus
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #10 geplaatst: 12 juni 2019 - 10:27
Je toon blijft onaangenaam.
geplaatst door: macqintosh
iPhone 6+ 64GB / Apple TV 4 64GB / iMac 27" 5K (2017) / MacBook Pro 13" Retina (early 2015)
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #11 geplaatst: 12 juni 2019 - 10:29
niet iedereen kan aangenaam zijn.
Als we on topic blijven moet ik misschien weinig repliek geven en heb je der minder last van
geplaatst door: Macccampus
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #12 geplaatst: 12 juni 2019 - 10:47
...
geplaatst door: macqintosh
iPhone 6+ 64GB / Apple TV 4 64GB / iMac 27" 5K (2017) / MacBook Pro 13" Retina (early 2015)
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #13 geplaatst: 12 juni 2019 - 11:32
"moet ik misschien weinig repliek geven en heb je der minder last van"

Lijkt me een goed idee.
geplaatst door: iRenaissance

geblokkeerd

antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #14 geplaatst: 12 juni 2019 - 11:37
blijven we dan voor de rest on topic tot er een duidend antwoord gegeven wordt.

Hiervoor mijn dank & waardering
geplaatst door: Macccampus
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #15 geplaatst: 12 juni 2019 - 13:30
Ik heb een link naar de (Franstalige) bron toegevoegd.
geplaatst door: Robert
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #16 geplaatst: 12 juni 2019 - 14:28
Bedankt voor de bronreferentie. Daaruit versta ik dus dat er één partitie is voor Systeem & een andere voor users, verder gaan ze daar ook niet echt in detail.

Maar wat met /Library en /Applications ?
Dewelke zowel Applicaties & andere bestanden bevatten van Apple als door de gebruiker toegevoegde

Vanuit bv. dit standpunt:
"betrouwbare" Apps zoals Adobe ?? en minder betrouwbare als bv "Vuze" of zelfs "Cyberduck" (betrouwbaar vanuit Apple's standpunt bedoel ik dan).

Of vanuit nog een ander standpunt:
Apps die vanuit de Appstore worden geïnstalleerd (=betrouwbaarder) envanaf websites van derden (=minder betrouwbaar).

Dus waar horen deze maps thuis, op welke partitie ?

En dan zijn er nog de andere normaal verborgen mappen die toemaken hebben met de Unix/BSD Roots (Darwin) van MacOS. Dan heb ik het over /bin, /cores, /opt, /private, /sbin & /usr.

Waarvan /bin, /cores & /sbin duidelijk bij het systeem horen en dus op de systeem partite horen te staan. Ook duidelijk is /opt meestal gecreëerd door MacPorts bij de gebruikers hoort dus op de normale partitie.

Doch /private daar bevinden zich buiten systeemconfiguratie bestanden ook schets en temp files & /usr zou eigenlijk enkel door Apple mogen gebruikt worden doch wordt nog steeds door derden gebruikt tot Catelina hen dit mogelijk onmogelijk zal maken.

Aldus: De vraag blijft :

Welke Mappen/bestanden horen bij het systeem en komen op de Systeem Partitie ?

Hoe Wordt de zichtbare schijf gecreëerd die de gebruiker zal zien, op een nieuwe door Apple gecreëerde niet Unix manier (waardoor MacOS mogelijk niet meer Unix Certified kan zijn) of via de voorzieningen van een Unix/BSD/Linux systeem nl, mountpoints zoals reeds eerder in deze post door mij omschreven (waarmee MacOS zijn Unix certificatie niet in het gedrang zou komen) ?

Kan je deze verdeling of mountpoints dan ook grafisch of in text (zoals ik in het voorbeeld) weergeven of een link naar een diepergaand artikel dat dit verklaard mag uiteraard ook.

Mvg
geplaatst door: Macccampus
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #17 geplaatst: 12 juni 2019 - 14:57
Soms stelt iemand een vraag omdat hij iets wil weten.
Soms niet.
geplaatst door: Ziegler
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #18 geplaatst: 12 juni 2019 - 16:35
@Ziegler, soms stelt iemand een vraag en weet je het antwoord niet. Je houdt dan het best je mond.
@Macccampus, Wanneer je de developersversie installeert zal dit naar alle waarschijnlijkheid al je (terechte) vragen beantwoorden. Zelf waag ik mij daar niet aan, ik wacht de uiteindelijke versie wel af.
geplaatst door: peerzwart
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #19 geplaatst: 12 juni 2019 - 17:17
Ja, ik vind het dan ook echt irritant als je zo van die domme antwoorden krijgt terwijl je het topic nauwlettend in het oog houd, zelfs in die zin dat het je dagtaak beïnvloed.

Ik denk idd at het installeren van de Beta een oplossing kan bieden, tenminste als het zichtbaar is voor de eindgebruikers, Apple zou een nieuwe manier kunnen ontwikkeld hebben die dit volledig verbergt, ook voor een technische eindgebruiker, en zich het risico wagen hun Unix certificatie in gedrang te brengen.

Doch ik merk dat het brengen van fake of onvolledig nieuws de laatste tijd in de mode is.

Wanneer het dan iets is wat jou als Mac gebruiker die ook enorme interesse heeft in MacPorts en het zelf porten van Unix applicaties naar Mac erg aanbelangt. Dan hoop je natuurlijk wel op correct nieuws met de nodige diepgang & duiding. Niet op een gerucht of een topic waarvan je jezelf maar baseert op een slide zonder de technische aspecten te kennen. Ik hoop dan ook dat Robert dit gaat uitdiepen en ons dan ook echt nieuws brengt achter de door hem gebrachte Headline.
geplaatst door: Macccampus
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #20 geplaatst: 12 juni 2019 - 18:00
@Maccampus: je hebt hier zelf meer verstand van dan de meeste van ons. Je kan dit ook Robert niet verwijten, wees hem eerder dankbaar voor wat hij doet voor deze site naast zijn werk. En vergeet niet: het is allemaal vrijwilligerswerk. Deze site bestaat door de inzet van elkaar.
Waarom schrijf je zelf niet een achtergrondartikel over deze complexe materie? Jij kan er waarschijnlijk als een van de weinige echt iets zinnigs over zeggen. Ik denk dat dit echt wel gewaardeerd wordt. Een advies: wees niet te technisch in je bijdrage. Ook anderen moeten het artikel kunnen begrijpen. Is dat een goed idee?
geplaatst door: Dhr JW Twel
Macverzamelaar van oude Mac's en software.
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #21 geplaatst: 12 juni 2019 - 18:45
@Maccampus: Ik denk ook dat je teveel verwacht. Er is zojuist een vooraankondiging gedaan, niemand kent nog details.
Robert informeert ons dat dit er aan zit te komen.

Pas als mensen met de ontwikkelaars-versie aan de slag gaan zal er langzaam meer duidelijk worden. Zoals anderen zeggen: als het je interesseert, ga er dan zelf mee aan de slag en deel je ervaringen met anderen.
Heb je daar geen tijd voor /zin in, wacht dan af tot Catalina uitkomt, rond die tijd zijn er doorgaans de nodige detail-reviews te vinden (arstechnica of zo).

Heb jij misschien ideeën waarom Apple voor read-only partities kiest? Is dat iets dat in de Linux-wereld een gangbare trend is? (ik vind het wel interessant, maar houd de ontwikkelingen niet echt meer bij)
SIP biedt voor bepaalde mappen ook al als feature dat ze read-only zijn, zelfs voor root. Functioneel lijkt er weinig verschil met een read-only partitie?
geplaatst door: jaco123
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #22 geplaatst: 12 juni 2019 - 18:46
Waarom schrijf je zelf niet een achtergrondartikel over deze complexe materie? ... Een advies: wees niet te technisch in je bijdrage. Ook anderen moeten het artikel kunnen begrijpen.

Dat is een heel goed idee! In plaats van zoals ook in je laatste reactie slechts kritiek te leveren op het artikel, de 'domme antwoorden', en het als 'fake news' af te doen. The floor is yours Macccampus.
geplaatst door: boiing
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #23 geplaatst: 13 juni 2019 - 12:15
Okay, taking the floor :)

First of, i Wil ik even zeggen dat ik dit niet als fake news beoordeelde, eerder als ovolledig nieuws. Dit net ik Robert ook niet kwalijk, alhoewel ik het leuker zou gevonden hebben moest er meteen een duidend antwoord bij zijn geweest.

Ik heb zelf wat opzoek werk gedaan, maar dit is echter wel onder voorbehoud van mogelijke fouten, indien iemand er fouten aan ontdekt ie ik deze dan ook graag gecorrigeerd.

Dit gezegd hebbende volgt hieronder wat ik er tot nu aan toe over begrepen heb:

Reeds in Mojave is er dankzij het nieuwe filesysteem APFS een wijziging gebeurt in verband met het virtueel geheugen.

De "swap" bestanden die zich voordien gewoon is een verborgen folder bevonden nl: /private/var/vm kregen een eigen partitie ( Partitie = een deel van de Harde schijf dat op zichzelf een schijf vormt). Deze VM genaamde partitie werd via een "Firmlink" gekoppeld aan eerder genoemde folder. De partitie werd verborgen gehouden, de swap bestanden bleven zichtbaar op hun originele lokatie en dus voor de gevorderde gebruiker veranderde er niets want alles leek als voordien.

Met het terminal commando : diskutil apfs list zou je de partitie kunnen zien maar in Schijfhulpprograma zou dit niet het geval zijn <-- Nog niet getest.

Ook waren er reeds een Recovery & Preboot (Efi ?) partitie aanwezig die julie hopelijk nog niet hebben moeten gebruiken.


Wat er nu in Catalina staat te gebeuren is dat die HD nog meerdere Partieties gaat krijgen. MacintoshHD zal omgevormd horen tot de User Partitie en besschrijfbaar blijven, een nieuwe partitie zal gemaakt worden namelijk de Systeem Partitie en die zal enkel leesbaar worden (dit is nu ook al het geval voor de recovery Partitie, ogelijk ook voor de Preboot). Deze 2 partities gaan (samen met de VM partitie, zie eerder) voor de gebruiker zichtbar worden als één geheel, namelijk de Macintosh HD.

Om dit geheel te vormen gaan er op de Systeem Partitie firmlinks gemaakt worden naar de folders op de gebruikers partitie. Uiteindelijk zien gebruikers één schijf, dus geen links ofzo.

De hoofdschijf (als ik het zo even mag noemen) wordt dus de Systeem partitie en de verschillende folders op de Users en swap partitie worden dus "gemount" op de gefirmlinkte lokatie waarmee ze corresponderen. Deze firmlinks kunnen enkel tijdens de Systeeminstallatie gecreerd worden en enkel via een system update zal de Systeempartitie niet Read-Only zijn bij normaal gebruik. Mocht je System Integrity Protection (SIP) uitschakelen dan word deze ook beschrijfbaar, maar bij de volgende herstart zal SIP weer actief zijn.

Dit deel beschreef de werking van deze nieuwe beveiliging.

geplaatst door: Macccampus
antw: Het systeem in Catalina staat op een aparte read-only partitie
reactie #24 geplaatst: 13 juni 2019 - 12:56
Wat wordt er nu eigenlijk Systeem (RO) en wat wordt gebruiker (RW) ?

Laten we beginnen met wat er eigenlijk allemaal is.

Je zal aanduidingen zien als (RO), (RW), (XX?) & (??)
RO = Read-Only op Systeem Partitie bevindend
RW = Beschrijfbaar en bevind zich dus op Gebruikerspartitie met een Firmlink op de Systeem Partitie
XX? = RO? naar mijns inziens RO, RW? naar mijns inziens RW
?? = onbekend en nog geen persoonlijk oordeel

Zichtbaar voor iedereen is er:
\                           (RO)
\Bibliotheek          (??)
\Gebruikers          (RW)
\Programma's       (??)
\Systeem              (RO)

Verborgen zijn er:
\bin                      (RO ?)
\cores                  (RO ?)
\private                (??)
\sbin                    (RO ?)
\usr                     (RO)
\usr\local             (RW)

De laatste zorgt ervoor dat programma's toch nog een mogelijkheid hebben om gebruik te maken van niet door Apple voorziene Unix applicaties voor het uitvoeren van onderliggende taken. Ze kunnen deze hier installeren.

Je merkte vast dat ik geen idee heb of bedenkingen laat bij de mappen /Programma's & /Bibliotheek. vermits de Programma's van Apple geïnstalleerd tijdens de Systeem Installatie bij "Systeem" horen en RO zouden zijn  maar de andere programma's door de gebruiker via de Appstore of handmatig geïnstalleerd zijn dan weer een RW Folder vereisen.
Verder vernam ik dat alles met een Apple certificaat dus ook de Apple Apps vanaf de Appstore of Handmatig geinstalleerd (hierbij denk ik aan Xcode & Extra Xcode Tools die je met een Developers account vanop de developers Apple site kan downloaden).
Bibliotheek zal voor het grootste deel ook RW moeten zijn, misschien zijn er enkele folders die Apple RO wil hebben doch \RO\RW\ kan via een Firmlink maar over \RO\RW\..\RO heb ik mijn twijfels.
Hoe het zit met de installatie van de Xcode Commandline Tools is me ook een vraagteken, deze worden vereist door bv Xcode, Macports en Fink (zie verder) en vereisen een beschrijfbare \usr, deze worden of via Appstore geïnstalleerd alhoewel ik ze daar niet in vind of via de Developers Apple Site gedownload en geïnstalleerd.

Verder zijn er ook nog enkele Symlinks of door het Unix systeem gecreëerde on the fly folders waarvan  ik er slecht enkele ga benoemen, je mag je als enkel belangrijk voor MacOS beschouwen. RO of RW is hier niet van toepassing.
\etc
\home
\net
\network
\tmp
\var

- Tot hier wordt alles gecreëerd tijdens de Systeem Installatie - Enkele zullen dus verplaatst worden naar de Systeem (RO) Partitie en de rest zal op de Systeem Partitie vervangen worden door een Firmlink, Firmlinks kunnen zich ook dieper , dus subfolder niveau bevinden.

De nu volgende mappen worden niet tijdens de systeem installatie gecreëerd echter. Ze zullen dus steeds op de Gebruikers Partitie dienen te komen en dus RW zijn. Maar je zal verder zien dat er hier iets niet lekker zit.

Vermits ik Poweruser ben heb ik ook nog één van volgende:
\opt  <- Macports en Xquartz
\sw <- Fink

ook de bekende Game developer Blizzard blijkt een folder aan te maken namelijk:
\Telemetry

De root van de schijf, dus \, zou bij het systeem gan horen en RO zijn. Als er gen folders in root kunnen gecreëerd worden zou dit een probleem vormen voor MacPorts, XQuartz & Fink. ook zal Battle.net.app geen Telemetry folder meer kunnen maken. Een lijst van uitzonderingen lijkt ook uitgesloten omdat de Firmlinks enkel tijdens systeeminstallatie (/update??) kunnen aangemaakt worden en de folders zich op de Gebruikers partitie bevinden dus een link moeten krijgen op de Systeemspartitie.


Zo nu weten jullie er evenveel als ik van.

(Robert je mag dit gerust herschrijven nar een meer leesbaar artikel)
geplaatst door: Macccampus