Quali dovrebbero essere le autorizzazioni sulla partizione / EFI?

Attualmente, sono in grado di montare e modificare la partizione EFI senza privilegi speciali. È corretto?

Comprendo che i flag di avvio per le aree protette SIP sono archiviati in nvramcui è inaccessibile tramite bless, ma mi sembra strano che io possa manipolare il binario e le modifiche persisteranno attraverso un riavvio.

C'è qualcosa che non va qui? In caso contrario, perché è così?

— blanket_cat
fonte

Quale set di comandi specifici usi per montare il volume? Cosa significa "modifica della partizione". Tutto potrebbe andare bene e si tratta di stabilire le aspettative.

— bmike

Basta ~$ diskutil mount disk0s1. E per modifica intendo che posso cancellare /EXTENSIONS/Firmware.scap, aprire MBP112_0138_B18_LOCKED.scapin un hexeditor, cambiare valori e salvarlo, creare un file privo di significato, ecc.

— blanket_cat

Non sembra che ci siano 777 autorizzazioni. È così? È così che dovrebbe funzionare? O è stato cambiato in qualche modo?

— blanket_cat

Quel comando mount funziona allo stesso modo su tutti i miei Mac - perché probabilmente non è in argomento qui. Vedi meta apple.meta.stackexchange.com/questions/2608/… - Non ho votato per chiudere poiché sospetto che tu abbia una domanda molto pratica e posso modificarla in. Come - come proteggere EFI? o come verificare se è manomesso? o qualcos'altro?

— bmike

Le partizioni EFI sono formattate con un file system FAT32. FAT32 non fornisce autorizzazioni per i file POSIX. Chiunque acceda a una partizione EFI in OS X / macOS ha la piena proprietà di tutti i file e le cartelle (777).

Questo vale anche se cambi utente con Cambio rapido utente.

Il montaggio della partizione EFI richiede tuttavia i privilegi di amministratore.

— klanomath
fonte

Per quanto riguarda le autorizzazioni di amministratore: in 10.14 (Mojave) sembra che sia necessario anche essere root per montare la partizione, ovvero il comando ora sarebbe:sudo diskutil mount disk0s1

— Thomas Tempelmann,