MacOS初识SIP——解决快捷指令sh脚本报错Operation not permitted

2024-04-10 11:20

本文主要是介绍MacOS初识SIP——解决快捷指令sh脚本报错Operation not permitted,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言

因为一些原因,设计了一套快捷指令,中间涉及到一个sh脚本的运行,通过快捷指令运行时就会报错:operation not permitted

奇怪的是在快捷指令窗口下运行一切正常,但是从其他地方直接调用,例如通过Command+Space 打开Spotlight Search下执行就换出现报错。

以测试用快捷指令”Mytest“为例,快捷指令窗口下运行成功截图:

1

通过Spotlight Search运行Mytest失败截图:

在这里插入图片描述

接下去记录下整个排查过程。

省流:解决办法:换个目录,将脚本从系统目录移动到用户目录下。

mv /users/xavier/Downloads/tmp/test.sh /users/xavier/MyScripts/test.sh

文章目的:分享排查思路和过程、介绍SIP

Step 1:初步检查

遇到 “operation not permitted” 错误,这通常意味着系统安全设置或权限设置阻止了脚本的执行。

接下去进行了如下检查:

  1. 脚本内容:检查脚本内容,确保脚本中没有尝试执行需要更高权限的操作。没问题。
  2. sh脚本执行权限chmod 755 test.sh,具有可执行权限。没问题
  3. 系统偏好设置:打开“系统偏好设置” > “安全性与隐私” > “隐私”标签页,检查“完全磁盘访问”列表,给快捷指令应用或终端应用(terminal)访问磁盘上文件的权限。 没问题。
  4. Gatekeeper 设置:在“安全性与隐私” > “通用”标签页中,设置允许从“App Store 和被认同的开发者”或“任何来源”安装应用。没问题
  5. 管理员权限:尝试以管理员身份运行sh脚本。无影响,还是不行。

在我当前已有认知中所有可能的方法都不能解决问题,那么要尝试定位问题产生的原因。

Step 2:日志调查

这是一个超出我当前认知的一个问题,需要一步步排查定位问题,目前快捷指令给出的反馈.../test.sh: Operation not permitted太粗糙,需要找更精细的报错日志。

使用MacOS的 控制台应用(Console.app)以获取更多关于错误的详细信息。

又重复执行了一边快捷指令,使用Console.app抓取日志信息,然后通过搜索test.sh定位到详细的日志内容:

在这里插入图片描述

BackgroundShortcutRunner进程就是快捷指令app,注意到在它上面有一条kernel进程的报错信息,内容如下:

System Policy: bash(1538) deny(1) file-read-data /Users/xavier/Downloads/tmp/test.sh

接下去就是搜索该报错信息是什么意思,怎么解决。

Step 3:定位问题

System Policy: bash(1538) deny(1) file-read-data /Users/xavier/Downloads/tmp/test.sh

通过搜索得知,这个日志信息表明 macOS 的系统策略(很可能是 SIP,即 System Integrity Protection)阻止了 bash 进程(进程ID为1538)读取 /Users/xavier/Downloads/tmp/test.sh 文件数据。

问题就在这个SIP策略。当脚本位于受 SIP 保护的目录中,或者脚本试图执行被 SIP 保护的操作,就可能会遇到权限问题。

这次遇到的情况就是因为我们的脚本被放在了受SIP保护的目录中,因此解决办法非常简单。

在解决问题之前,我想先了解下SIP。

SIP是什么?

SIP ,即系统完整性保护(System Integrity Protection),是 macOS 的一个安全功能,用于保护系统文件和目录,防止这些文件及目录被没有特定权限的进程修改,包括root用户或拥有root权限的用户。

SIP通过一系列内核强制实施的机制来达成这一目标,它限制了关键系统文件的可写性,并对特定关键文件系统位置中的组件进行只读限制。

SIP的保护范围包括多个重要的系统目录和文件,例如/System、/usr、/bin、/sbin以及OSX的预装应用。这些目录和文件在系统启动时会被加载,并且对于保持系统的稳定性和安全性至关重要。SIP确保这些文件和目录不会被恶意代码或其他未经授权的进程修改。

Step 4:解决问题

之前说了这次遇到的问题就是因为我们的脚本被放在了受SIP保护的目录中,因此解决办法非常简单,只需要将脚本换个位置,放到用户目录下即可,SIP 通常不会阻止读取用户目录下的文件。

移动脚本到用户目录

mv /users/xavier/Downloads/tmp/test.sh /users/xavier/MyScripts/test.sh

当然还有一种办法,就是禁用SIP,但是强烈不推荐,后果自负,我没试过

  • 如果确定需要禁用 SIP 来运行脚本,请小心操作,因为这可能会降低系统的安全性。
  • 在终端运行 sudo csrutil status 检查 SIP 的状态,
  • 使用 sudo csrutil disable ,禁用SIP(需要重启)。

总结

在排查问题过程中,要尽可能找细节全面的日志信息进行辅助判断。

写程序过程中也要注意报错信息处理,能帮助我们更快定位和解决问题。

(又水一篇文章~ 😆 )

  • 原文:https://bthoughts.top/posts/macos-%E5%88%9D%E8%AF%86sip/

这篇关于MacOS初识SIP——解决快捷指令sh脚本报错Operation not permitted的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/890924

相关文章

这15个Vue指令,让你的项目开发爽到爆

1. V-Hotkey 仓库地址: github.com/Dafrok/v-ho… Demo: 戳这里 https://dafrok.github.io/v-hotkey 安装: npm install --save v-hotkey 这个指令可以给组件绑定一个或多个快捷键。你想要通过按下 Escape 键后隐藏某个组件,按住 Control 和回车键再显示它吗?小菜一碟: <template

如何解决线上平台抽佣高 线下门店客流少的痛点!

目前,许多传统零售店铺正遭遇客源下降的难题。尽管广告推广能带来一定的客流,但其费用昂贵。鉴于此,众多零售商纷纷选择加入像美团、饿了么和抖音这样的大型在线平台,但这些平台的高佣金率导致了利润的大幅缩水。在这样的市场环境下,商家之间的合作网络逐渐成为一种有效的解决方案,通过资源和客户基础的共享,实现共同的利益增长。 以最近在上海兴起的一个跨行业合作平台为例,该平台融合了环保消费积分系统,在短

pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定

在 Python 开发中,管理依赖关系是一项繁琐且容易出错的任务。手动更新依赖版本、处理冲突、确保一致性等等,都可能让开发者感到头疼。而 pip-tools 为开发者提供了一套稳定可靠的解决方案。 什么是 pip-tools? pip-tools 是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。它主要包含两个核心工具:pip-compile 和 pip

【VUE】跨域问题的概念,以及解决方法。

目录 1.跨域概念 2.解决方法 2.1 配置网络请求代理 2.2 使用@CrossOrigin 注解 2.3 通过配置文件实现跨域 2.4 添加 CorsWebFilter 来解决跨域问题 1.跨域概念 跨域问题是由于浏览器实施了同源策略,该策略要求请求的域名、协议和端口必须与提供资源的服务相同。如果不相同,则需要服务器显式地允许这种跨域请求。一般在springbo

Linux操作系统 初识

在认识操作系统之前,我们首先来了解一下计算机的发展: 计算机的发展 世界上第一台计算机名叫埃尼阿克,诞生在1945年2月14日,用于军事用途。 后来因为计算机的优势和潜力巨大,计算机开始飞速发展,并产生了一个当时一直有效的定律:摩尔定律--当价格不变时,集成电路上可容纳的元器件的数目,约每隔18-24个月便会增加一倍,性能也将提升一倍。 那么相应的,计算机就会变得越来越快,越来越小型化。

macOS升级后SVN升级

问题 svn: error: The subversion command line tools are no longer provided by Xcode. 解决 sudo chown -R $(whoami) /usr/local/Cellar brew install svn

工作常用指令与快捷键

Git提交代码 git fetch  git add .  git commit -m “desc”  git pull  git push Git查看当前分支 git symbolic-ref --short -q HEAD Git创建新的分支并切换 git checkout -b XXXXXXXXXXXXXX git push origin XXXXXXXXXXXXXX

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

Jenkins 插件 地址证书报错问题解决思路

问题提示摘要: SunCertPathBuilderException: unable to find valid certification path to requested target...... 网上很多的解决方式是更新站点的地址,我这里修改了一个日本的地址(清华镜像也好),其实发现是解决不了上述的报错问题的,其实,最终拉去插件的时候,会提示证书的问题,几经周折找到了其中一遍博文

Redis中使用布隆过滤器解决缓存穿透问题

一、缓存穿透(失效)问题 缓存穿透是指查询一个一定不存在的数据,由于缓存中没有命中,会去数据库中查询,而数据库中也没有该数据,并且每次查询都不会命中缓存,从而每次请求都直接打到了数据库上,这会给数据库带来巨大压力。 二、布隆过滤器原理 布隆过滤器(Bloom Filter)是一种空间效率很高的随机数据结构,它利用多个不同的哈希函数将一个元素映射到一个位数组中的多个位置,并将这些位置的值置