Kullanıcı hesaplarının atası: Root Account

Mac’inizi farklı kullanıcı hesapları ile kullanabilirsiniz. Bu hesaplar, sistemi kullanma ve yönetme açılarından birbirlerinden farklılık gösterir. Ama bu hesaplar arasında biri var ki, neredeyse her şeyi yapmaya yetkilidir. Bu hesabın ismine Root Account diyoruz.

Konunun derinlerine girmeden önce macOS’ta bulunan hesap türlerinin üzerinden kısaca geçelim:

• Administrator: İlk açılan hesaptır. Genel olarak sistem ayarlarını değiştirebilme, bilgisayara her türlü uygulamayı yükleyebilme ve sistem güncellemelerini yapabilme yetkisi bulunur. Bilgisayarın kurulumunu ilk defa yaparken Setup Assistant tarafından; bilgisayar kurulduktan sonra ise System Settings > Users & Groups bölümünden oluşturulabilir.

• Standard: Genel kullanım için un uygun hesaptır. Birçok işlemi yapabilir. AppStore üzerinden uygulama yükleyebilir. Sistem genelini ilgilendiren ayarlar hariç kendi kullanıcısı ile ilgili ayarları değiştirebilir. Standard hesaplar System Settings > Users & Groups bölümünden oluşturulabilir.

• Guest: Bilgisayarınızı geçici olarak kullanması gereken kullanıcılar için tasarlanmıştır. Standart ayarlar çerçevesinde kapalıdır. Bilgisayara giriş ve paylaşılan klasörlere erişim hakkı verilebilir. Kullanıcı oturumunu kapattığı zaman oluşturulan tüm dosyalar otomatik olarak silinir. Guest hesaplar System Settings > Users & Groups bölümünden aktive edilebilir.

• Sharing: Bilgisayara herhangi bir login olanağı bulunmayan ve sadece paylaşım için kullanılan hesap türüdür. Bilgisayarınızın diskinde bulunan bir dosya veya klasörü paylaşmak istediğinizde izinler arasına bir satır ACE (Access Control Entry) girerek oluşturduğunuz Sharing kullanıcısını tanımlayabilir, başka kullanıcıların bu kullanıcı bilgileri ile dosyaya erişmesini sağlayabilirsiniz. Sharing hesaplar System Settings > Users & Groups bölümünden oluşturulabilir.

Hiyerarşik bir sıralama yapmamız gerekirse şöyle yazabiliriz: Root > Administrator > Standard > Guest

…Ve makalemizin başrol oyuncusu: Root

Administrator hesabın da üzerinde bulunan macOS’taki en yetkili hesaptır. Sadece Windows deneyimi bulunan kullanıcılar, yazının bu noktasına kadar herhangi bir yabancılık çekmemiş olmalı. Ama macOS’un Windows’tan ayrıştığı noktalardan biri de Root hesaptır. Bir Mac’te en üst seviye yetkili kullanıcı Administrator değil, Root’tur. Gerektiği durumlarda Admin hesapları çeşitli işlemlere karşı sınırlandırabilirsiniz. Buna bir örneği Admin Kullanıcıların Uygulama Yüklemesini Nasıl Engellersiniz makalemizde görebilirsiniz.
Root Account herhangi bir kısıtlamaya tabi olmaksızın her ayarı değiştirebilir. SIP tarafından korunan klasörler hariç her yerde okuma ve yazma yetkisi bulunur. Normal şartlar altında Root hesap ile bilgisayara login olamazsınız. Sistem içindeki Macintosh HD / System / Library / Core Services / Applications adresindeki Directory Utility uygulaması tarafından login yetkisi verilebilir. Ama bu genel kullanım için önerebileceğimiz bir şey değil.

Bilgisayarınızı Admin yetkili bir kullanıcı ile kullanıyorken Root yetkileri ile bir işlem yapmak istediğinizde bunu Terminal uygulaması üzerinden sudo ile başlayan komutlar ile yapabilirsiniz.

Root hesabına login yetkisi vermek için

Yukarıda da yazdığımız gibi bu önerilmez. Bir kere daha yazalım, Root’a login yetkisi verilmesi önerilmez. Ama yine de bunu bir test Mac’i üzerinde veya VM ortamında deneyimlemek isterseniz Root hesabını login’e açmak için şu adımları izleyebilirsiniz.

1. Macintosh HD/System/Library/Core Services/Applications klasöründe bulunan Directory Utility isimli uygulamayı açın.
2. Açılan pencerede sol alt köşede bulunan kilit simgesine tıklayarak Admin kullanıcı adınızı ve şifrenizi girin.
3. Edit menüsünden Enable Root User komutunu verin.
4. Root kullanıcı için bir parola belirleyin. Ve pencereyi onaylayarak kapatın.
5. Mevcut kullanıcınızdan çıkış yapın ve bilgisayarınıza Root kullanıcı ile giriş yapın. Kullanıcı adı, Root; Şifre ise Directory Utility‘de belirlediğiniz şifre olacak.
6. Deneme amaçlı olarak System Settings uygulamasında sizden Admin şifrenizi girmenizi isteyen komutlardan birini kullanmayı deneyebilirsiniz. Şifre istemeden sorgusuz sualsiz yaptığını göreceksiniz. Örneğin Privacy & Security bölümünden Gatekeeper ayarını sadece App Store olarak değiştirmeyi deneyebilirsiniz.

Yazının ilk satırlarında Root hesabın -neredeyse- her şeyi yapmaya yetkili olduğunu yazmıştık. Burada anahtar sözcük, “Neredeyse”. Çünkü ister bilgisayarınızı Admin olarak kullanıp sudo komutlarını kullanın, isterseniz de Root kullanıcıya Directory Utility üzerinden login yetkisi verin, bazı alanlara dokunamaz ve bazı işlemleri yapamazsınız. Çünkü o alanlar SIP yani System Integrity Protection tarafından korunurlar. Örneğin yukarıdaki adımları takip ederek Root hesabını aktif hale getirmiş dahi olsanız mesela Applications klasöründeki uygulamalar arasından Preview veya Calculator uygulamalarını silemediğinizi görebilirsiniz. Çünkü onlar SIP tarafından korunurlar.

Nedir bu SIP?

SIP, sistem tarafından işletim sisteminin güvenliğini sağlamak için bazı klasörleri Root yetkili müdahalelerden bile koruyan bir güvenlik mekanizmasıdır. SIP tarafından şu adresler korunur:

/System
/usr
/bin
/sbin
/var
macOS ile birlikte standart olarak yüklenmiş tüm uygulamalar.

SIP tarafından korunan tüm dosya ve klasörlerin tam listesini görmek istiyorsanız Macintosh HD/System/Library/Sandbox klasöründe bulunan Rootless.conf isimli dosyayı inceleyebilirsiniz.

Rootless.conf dosyasını biraz inceleyecek olursanız Configuration Profile dosyalarının SystemPolicyConfiguration klasörünün de bu liste içinde olduğunu görebilirsiniz. Özetle SIP işletim sisteminin güvenliğini sağlar ve koruduğu birçok alan vardır.

Eğer herhangi bir nedenle SIP’i devre dışı bırakmak isterseniz (önerilmez) bunu Recovery Partition üzerindeki Terminal’den yapabilirsiniz. Sırasıyla şu adımları yapmanız yeterli:

1. Bilgisayarınızı Recovery Partition‘dan açın. Bilgisayarınız Intel işlemcili ise bunu açılış sırasında Command+R‘ye basılı tutarak; Apple Silicon işlemcili ise açılış sırasında Power tuşuna basılı tutarak yapabilirsiniz.
2. Bilgisayarınız Recovery Partition‘dan açıldıktan sonra Utilities menüsünden Terminal‘i açın.
3. Terminal‘e şu komutu yazın: csrutil disable
4. Bilgisayarınızı yeniden başlattığınızda yukarıda listesini verdiğimiz klasörlerden SIP koruması kalkmış olacaktır.
5. SIP‘i yeniden aktif hale getirmek isterseniz yukarıdaki adımları tekrar edip bu sefer csrutil enable yazmanız yeterli.

Bilgisayarımı koruyan SIP’i nasıl koruyabilirim?

Eğer bir sistem yöneticisi iseniz ve kullanıcıların kendi başlarına SIP‘i devre dışı bırakmalarını istemiyorsanız bunu yapmanızın üç yöntemi var.

• Kullanıcılarınız bilgisayarlarını Standart kullanıcı yetkisi ile kullanıyorlarsa Recovery Partition‘dan açsalar bile orada herhangi bir işlem yapabilmek için minimum Admin yetkisine ihtiyaçları olur. Böylece SIP‘i devre dışı bırakamazlar.

• Kullanıcılarınız bilgisayarlarını Admin yetkisi ile kullanıyorlarsa ama bilgisayarda FileVault açık durumda ise yine Recovery Partition’da herhangi bir işlem yapamazlar.

• Intel işlemcili Mac’ler için Firmware Password korumasını; Apple Silicon işlemcili Mac’ler için Recovery Lock korumasını aktif hale getirirseniz kullanıcıların Recovery ortamına girişlerini tamamen engellemiş olursunuz.

Özet

SIP‘i kapatmak ve Root kullanıcıyı aktif hale getirerek Root yetkisi ile bilgisayarınızı kullanmak çeşitli güvenlik zaaflarına yol açacaktır. Kullanıcıların kendi başlarına bunları yapamaması adına çeşitli önlemler almak ve yönettiğiniz Mac’lerde bazı uyarı mekanizmaları oluşturmak yararlı olabilir.

Bu uyarı mekanizmalarına küçük bir örneği Jamf Pro‘dan vermek istiyorum. Kendi kullandığınız MDM çözümü için da benzer yapılar kullanabilirsiniz.

Jamf Pro‘da Computers > Smart Computer Groups bölümünden bir adet akıllı grup oluşturarak arama kriteri bölümüne System Integrity Protection seçeneğini Disabled olarak işaretleyerek SIP‘i kapatmış olan tüm bilgisayarların bir listesini edinebilirsiniz.