MacOS初识SIP——解决快捷指令sh脚本报错Operation not permitted

news2024/10/5 18:24:56

前言

因为一些原因，设计了一套快捷指令，中间涉及到一个sh脚本的运行，通过快捷指令运行时就会报错：operation not permitted

奇怪的是在快捷指令窗口下运行一切正常，但是从其他地方直接调用，例如通过Command+Space 打开Spotlight Search下执行就换出现报错。

以测试用快捷指令”Mytest“为例，快捷指令窗口下运行成功截图：

通过Spotlight Search运行Mytest失败截图：

在这里插入图片描述

接下去记录下整个排查过程。

省流：解决办法：换个目录，将脚本从系统目录移动到用户目录下。

mv /users/xavier/Downloads/tmp/test.sh /users/xavier/MyScripts/test.sh

文章目的：分享排查思路和过程、介绍SIP

Step 1：初步检查

遇到 “operation not permitted” 错误，这通常意味着系统安全设置或权限设置阻止了脚本的执行。

接下去进行了如下检查：

脚本内容：检查脚本内容，确保脚本中没有尝试执行需要更高权限的操作。没问题。
sh脚本执行权限，chmod 755 test.sh，具有可执行权限。没问题
系统偏好设置：打开“系统偏好设置” > “安全性与隐私” > “隐私”标签页，检查“完全磁盘访问”列表，给快捷指令应用或终端应用（terminal）访问磁盘上文件的权限。没问题。
Gatekeeper 设置：在“安全性与隐私” > “通用”标签页中，设置允许从“App Store 和被认同的开发者”或“任何来源”安装应用。没问题
管理员权限：尝试以管理员身份运行sh脚本。无影响，还是不行。

在我当前已有认知中所有可能的方法都不能解决问题，那么要尝试定位问题产生的原因。

Step 2：日志调查

这是一个超出我当前认知的一个问题，需要一步步排查定位问题，目前快捷指令给出的反馈.../test.sh: Operation not permitted太粗糙，需要找更精细的报错日志。

使用MacOS的控制台应用（Console.app）以获取更多关于错误的详细信息。

又重复执行了一边快捷指令，使用Console.app抓取日志信息，然后通过搜索test.sh定位到详细的日志内容：

在这里插入图片描述

BackgroundShortcutRunner进程就是快捷指令app，注意到在它上面有一条kernel进程的报错信息，内容如下：

System Policy: bash(1538) deny(1) file-read-data /Users/xavier/Downloads/tmp/test.sh

接下去就是搜索该报错信息是什么意思，怎么解决。

Step 3：定位问题

System Policy: bash(1538) deny(1) file-read-data /Users/xavier/Downloads/tmp/test.sh

通过搜索得知，这个日志信息表明 macOS 的系统策略（很可能是 SIP，即 System Integrity Protection）阻止了 bash 进程（进程ID为1538）读取 /Users/xavier/Downloads/tmp/test.sh 文件数据。

问题就在这个SIP策略。当脚本位于受 SIP 保护的目录中，或者脚本试图执行被 SIP 保护的操作，就可能会遇到权限问题。

这次遇到的情况就是因为我们的脚本被放在了受SIP保护的目录中，因此解决办法非常简单。

在解决问题之前，我想先了解下SIP。

SIP是什么？

SIP ，即系统完整性保护（System Integrity Protection），是 macOS 的一个安全功能，用于保护系统文件和目录，防止这些文件及目录被没有特定权限的进程修改，包括root用户或拥有root权限的用户。

SIP通过一系列内核强制实施的机制来达成这一目标，它限制了关键系统文件的可写性，并对特定关键文件系统位置中的组件进行只读限制。

SIP的保护范围包括多个重要的系统目录和文件，例如/System、/usr、/bin、/sbin以及OSX的预装应用。这些目录和文件在系统启动时会被加载，并且对于保持系统的稳定性和安全性至关重要。SIP确保这些文件和目录不会被恶意代码或其他未经授权的进程修改。

Step 4：解决问题

之前说了这次遇到的问题就是因为我们的脚本被放在了受SIP保护的目录中，因此解决办法非常简单，只需要将脚本换个位置，放到用户目录下即可，SIP 通常不会阻止读取用户目录下的文件。

移动脚本到用户目录：

mv /users/xavier/Downloads/tmp/test.sh /users/xavier/MyScripts/test.sh

当然还有一种办法，就是禁用SIP，但是强烈不推荐，后果自负，我没试过

如果确定需要禁用 SIP 来运行脚本，请小心操作，因为这可能会降低系统的安全性。
在终端运行 sudo csrutil status 检查 SIP 的状态，
使用 sudo csrutil disable ，禁用SIP（需要重启）。

总结

在排查问题过程中，要尽可能找细节全面的日志信息进行辅助判断。

写程序过程中也要注意报错信息处理，能帮助我们更快定位和解决问题。

（又水一篇文章~ 😆 ）

原文：https://bthoughts.top/posts/macos-%E5%88%9D%E8%AF%86sip/

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/1581631.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！