SIP unter Catalina ausschalten

Jukilo

Mitglied
Thread Starter
Registriert
07.04.2007
Beiträge
69
Habe kürzlich meinen Mac Pro auf Catalina geupgraded. Jetzt möchte ich SIP ausschalten, habe wie üblich mit cmd-r neu gestartet und bin ins Terminal gegangen. Nachdem ich csrutil disalbe eingebe kommt folgende Meldung:
"csrutil: failed to modify system integrity configuration. This tool needs to be executed from the Recovery OS."

Ich bin doch im Recoverymode? Wie kann ich das beheben?

P.S.: Habe Catalina von einem USB-Stick aus installiert mit Mac OS Catalina Patcher. Bitte sagt mir, dass ich den nicht jedes Mal den USB-Stick brauche um SIP an und ausszuschalten...
 

dg2rbf

Aktives Mitglied
Registriert
08.05.2010
Beiträge
8.178
Hi,
würde mal mit der Alt-Taste booten, hast du auch den Recovery Patch instaliert ?.
Franz
 

Jukilo

Mitglied
Thread Starter
Registriert
07.04.2007
Beiträge
69
Mit der Alttaste wir mir nur Macintosh HD und Time Machine angezeigt.
 

dg2rbf

Aktives Mitglied
Registriert
08.05.2010
Beiträge
8.178
Hi,
dann hast du bei gepatchten Installation nen Fehler gemacht.
Franz
 

Jukilo

Mitglied
Thread Starter
Registriert
07.04.2007
Beiträge
69
Ich habe mich exakt an die Anleitung gehalten. Dort wurde wärmstens empfohlen, die Installation über den USB-Stick zu machen, um Fehlern vorzubeugen. Ich habe eben mal ausprobiert von dem Stick zu booten und dann SIP auszuschalten - das funktioniert. Wenn ich dann wieder normale boote und csrutil status abrufe kommt dort auch disabled. Leider kann ich den lib Ordner immernoch nicht editieren. Weiß jemand Rat? Erstens wie bekomme ich die Recoverypartition auf die Systemfestplatte, zweitens wie kann ich die lib editieren?
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.047
Bevor ich dir einen Ansatz zur Lösung gebe, solltest du dir überlegen, ob es tatsächlich notwendig ist, in /lib irgendwas zu verändern. Software, die das erfordert, ist in meinen Augen stümperhaft programmiert. Gleiches gilt für die angebliche Notwendigkeit SIP auszuschalten, wie manche Entwickler fordern.

Und, wenn jemand an SIP herum werkeln will, oder sonstwie die systemseitigen Sicherungsmaßnahmen umgehen will, dann sollte er auch das Wissen dazu haben. Das erlangt man meines Erachtens nicht durch Probieren. Banales drauf los fragen in Foren, ohne detaillierte Infos über den beabsichtigen Zweck zu geben, ist eher ein Indiz, dass genau dieses Wissen nicht durchgängig vorhanden ist oder auf grundsätzlichen Fehlannahmen beruht.

Sorry, aber das musste ich los werden.

Nun zum Lösungsansatz:

Wenn SIP tatsächlich deaktiviert ist, können immer noch die sonstigen Zugriffsrechte des Systems einem bedenkenlosen Verändern entgegen stehen. Zum einen ist es möglich, dass du mit Admin-Rechten ändern musst. Klappt auch das nicht ist das immutable flag gesetzt. Das kannst du mit chflags ändern. Mehr Infos gibt dir im Terminal ein 'man chflags'. Suche dabei nach 'uchg' bzw. 'nouchg'

Abschließend nochmals: Überlege dir die Sinnhaftigkeit und Konsequenzen. Kein System setzt derartige flags einfach aus Spaß an der Freud und auch nicht aus dem Grund, den User bevormunden zu wollen.

Also bei Problemen, bitte nicht meckern. You've been warned.
 
Zuletzt bearbeitet:

groegsy

Mitglied
Registriert
12.01.2018
Beiträge
112
Klink mich mal hier ein:
Habe nämlich genau das gleiche Problem ... habe meinen 2018 gekauften und getunten "originale Käsereibe" auf Catalina über den Patcher geupdatete und musste die SIP dafür ausschalten. Hab leider und viel später erfahren, dass es andere Wege dafür gibt über den Patcher ... Kind ist jetzt aber in dem Brunnen gefallen und da sind solche Hinweise nicht mehr hilfreich.
Allerdings bekomm ich die SIP nicht mehr geschlossen und ich bekomm immer diesselbe Meldung wie Jukilo obwohl ich mich im RecoveryMode befinde.
 

groegsy

Mitglied
Registriert
12.01.2018
Beiträge
112
Wenn das System offen bleibt ... bleibt es dann nicht auch offen für ungewollt mitgebrachte Malware?
 

Johanna K

Mitglied
Registriert
28.10.2009
Beiträge
697
Mach dir da keinen Kopf drum. Solange nur wenige die SIP dauerhaft abgeschaltet haben, wird die Herdenimmunität nicht gefährdet.

Es lohnt sich für die Viren- und Malwareporgrammierer einfach nicht, Schadprogramme zu schreiben, die auf eine ausgeschaltete SIP angewiesen sind. Diese Programme würden sich nicht verbreiten, da sie viel zu selten auf einen anfälligen Rechner treffen. Stattdessen schreiben sie Programme, die nur Dateien befallen, die auch mit eingeschalteter SIP beschreibbar sind, wie z. B. Verschlüsselung deiner persönlichen Daten. Aus Sicht aller Mac-Nutzer ist die SIP natürlich trotzdem ein Schutz, weil gewisse Schadsoftware sich nicht verbreitet oder gar nicht erst geschrieben wird. Dazu reicht es aber, dass 90% der Mac-Besitzer die SIP eingeschaltet haben.

Leg eine gewisse Vorsicht an den Tag und sieh zu, dass du ein Backup-Konzept hast, dass auch einen Verschlüsselungstrojaner übersteht. Das bringt dir viel mehr.
 

groegsy

Mitglied
Registriert
12.01.2018
Beiträge
112
Danke ... die Sichtweise beruhigt zumindest, obwohl ich ein Vertreter davon bin möglichst auch wieder den "Normal- bzw. Standardzustand" wiederherzustellen.
Greife ungern und nur im allerhöchsten Notfall tief ins System ein, da ich mich als Softi mit Hardwareeinstellungen nicht so gut auskenne.
Werde auch mit meiner alten Käsereibe nicht mehr höher gehen, weil das Upgrade auf Catalina von Sierra sollte für die nächsten Jahre erstmal reichen ... und war auch nur auf dem Desktoprechner notwendig- damit Sohnemann seine Backups der "Schulunterlagen" von GoodNotes5 fahren kann.

Bin halt Logiker und habe überhaupt nicht verstanden, warum ich im Recoverymodus die SIP nicht wieder einschalten kann ... und eine Fehlermeldung bekomme, dass ich dies nur im Recoverymodus durchführen kann? Das arbeitete dann im Hirn einfach immer wieder ... weil ein Computer tut nur das was man ihm sagt bzw. was der Programmierer ihm vorher eingetrichtert hat. Es liegt nicht am Gerät, sondern immer am Benutzer/ Programmierer.
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.047
Es lohnt sich für die Viren- und Malwareporgrammierer einfach nicht, Schadprogramme zu schreiben, die auf eine ausgeschaltete SIP angewiesen sind.
och, eine IF Abfrage mehr, ob man die plist fürs starten nicht zusätzlich noch ins systemweite Verzeichnis schreiben kann, ist nicht sonderlich viel Mehraufwand. Und so ein kext-Austausch systemweit ist auch ganz gut. Ist ja nicht so, als dass es keine bestehende Malware für Altsysteme gäbe.
 

groegsy

Mitglied
Registriert
12.01.2018
Beiträge
112
Sage ja, ich würde mich wohler fühlen - wenn die SIP wieder geschlossen wäre, bekomme es aber nicht hin!!!
@lisanet Hättest du denn einen Lösungsvorschlag????

Hier mal ein paar Eckdaten zum Rechner - vielleicht ist die Konfiguration das Problem:
Es handelt sich um einen vor 3 Jahren gekauften, von einer Firma zusammengebauten MacPro Mid2012 (HigSierra) mit neuer 500 SSD für das OS und 3 weiteren externen Festplatten (insgesamt 10TB) .
Besonderheiten:
Das System hat von Anfang an die SSD mit dem OS immer als externes Laufwerk geführt. Habe alle Benutzerordner gleich beim Einrichten per Simlink auf eine externe Datenplatte ausgelagert, auf der zweiten Externen läuft die VMWare und die dritte ist eine reine Backupplatte.
Catalina wurde mit dem dosdude Patcher auf die 500 SSD aufgespielt. Dazu musste ich die SIP ausschalten ... und ich bekomm sie einfach nicht wieder geschlossen. Obwohl ich mich an die beschriebene Vorgehensweise bei der Installation des Patchers genauestens gehalten habe.
(Leider kann ich das PDF mit der Anleitung zur SIP aus-/ einschalten nicht hochladen.)

... hier mal ein Foto der Fehlermeldung beim Versuch diese wieder über "csrutil enable" einzuschalten:

Terminalausgabe Recovery Modus.png

Sorry, Leute bezüglich Hardware, deren Installation und Konfiguration fühle ich mich als Softi immer völlig überfordert. Das überlass ich dann gern den HardwareProfis.
 
Zuletzt bearbeitet:

win2mac

Aktives Mitglied
Registriert
07.09.2004
Beiträge
3.456
Dein Bild zeigt "geschützt" bei Terminal Modus, das ist falsch. Vielleicht Catalina nochmals drüberinstallieren.

Edit sagt: Hab grad gesehen das es ein getunter Mac Pro ist. Da bin ich mir nicht sicher ob drüberinstallieren geht.
 

Johanna K

Mitglied
Registriert
28.10.2009
Beiträge
697
Ich habe SIP vor vier Jahren ausgeschaltet und seitdem nie wieder eingeschaltet. Grund ist nicht, dass es nicht ginge, sondern dass ich mir nicht auf meinem Rechner vorschreiben lassen will, was ich darf und was nicht.
 

groegsy

Mitglied
Registriert
12.01.2018
Beiträge
112
Unsupported ist mein MacPro2012 von Apple NUR, weil der von original 2012 verbauten Systemkomponenten- wie einer alten Grafikkarte ausgeht.
Gerade das ist aber die Grundlage für den MacPro, dass ich Platz und Anschlüsse habe um neue Komponenten ins System einzubringen und den aktuellen Gegebenheiten anzupassen. Deshalb musste Apple auch zurückrudern von ihrem Designschrott MÜLLtonne und auf die geliebte Käsereibe wieder gehen.
Leider war ja 2018 überhaupt nicht damit zu rechnen ... das der MacPro nochmal in nem ordentlichen ArbeitsDesign daherkommt.

Würden Catalina oder BigSure die Systemkonfigurationen abfragen - hätte das OS sehr schnell festgestellt, das er eine sehr neue und schnelle Grafikkarte hat bzw. als Hauptplatine eine große SSD zum Verwalten zur Verfügung steht.

Nein "scheissegal" was für Hardwarevorrausetzungen mit Original Applekomponenten verbaut sind - PAUSCHAL fallen alle Geräte mit der Jahrgangsnummer blablabla raus. Eine kleine Abfrage für eventuell positiven Hardwarevoraussetzungen ist da nicht drin, man will ja lieber seine neue, völlig überdesignte MÜLLTonne an den Mann bringen.

... Leute die fanden, dass die AppleGeräte früher durchdachter, OS stabiler und arbeitseffizienter waren und nicht alle monatelang geupgraded statt geupdatet werden - suchen nach einfach Lösungen.
Wenn diese bei Apple nicht mehr zu finden sind, werden diese abwandern um ein stabile System zu haben, mit dem sie jahrelang ordentlich arbeiten können und nicht nur hübsch, bunt, im ultraflachen, MiniaturMonitorDesign herzukommen wie jetzt der neue iMac.

Sorry, bin ein wenig vom Thema abgekommen ... aber ich mag es nicht gezwungen zu werden über einen Patcher meine Software installieren zu müssen, nur weil OS nicht erkennt das mein Gerät die entsprechend geforderten Systemvorrausetzungen besitzt.
Es ist ein 3 Jahre alter MacPro verbaut in einem Gehäuse von 2012, statt in einer Mülltonne von 2015. Wieso rafft OS das nicht???
 

lisanet

Aktives Mitglied
Registriert
05.12.2006
Beiträge
4.047
Sorry, bin ein wenig vom Thema abgekommen ... aber ich mag es nicht gezwungen zu werden über einen Patcher meine Software installieren zu müssen, nur weil OS nicht erkennt das mein Gerät die entsprechend geforderten Systemvorrausetzungen besitzt.

du wirst doch nicht gezwungen. Es ist ganz und gar deine Entscheidung, ob du den Weg von Apple mit gehst oder nicht. Du hast doch selbst die Alternative genannt:

Leute die fanden, dass die AppleGeräte früher durchdachter, OS stabiler und arbeitseffizienter waren und nicht alle monatelang geupgraded statt geupdatet werden - suchen nach einfach Lösungen.
Wenn diese bei Apple nicht mehr zu finden sind, werden diese abwandern um ein stabile System zu haben, mit dem sie jahrelang ordentlich arbeiten können und nicht nur hübsch, bunt, im ultraflachen, MiniaturMonitorDesign herzukommen wie jetzt der neue iMac.

Da hast du dir nun selbst den Lösungsweg aus deinen gefühlten "Zwang" aufgezeigt. Und ja, Geschmäcker sind nun mal verschieden, und wenn dir bunt, ultraflach und weiteres halt nicht gefällt, ist doch ok. Das ist doch kein Beinbruch. Schlimm wird es nur dann, wenn du aus welchen Gründen auch immer, forderst, dass Apple zu deinem Geschmack passende Geräte herstellt.

man will ja lieber seine neue, völlig überdesignte MÜLLTonne an den Mann bringen.

Ist das bei einer Firma, die auf Gewinn ausgerichtet (wie jede andere Firma im übrigen auch) und nicht ausschließlich auf altruistische Wohlfahrtstaten, nicht irgendwie nachvollziehbar, dass sie immer wieder neue Geräte verkaufen wollen? Finde ich schon.
 
Oben