SIP komplett und dauerhaft deaktivieren unter macOS Big Sur.

    Hey,


    mit welchem achtstelligen Wert kann ich SIP permanent deaktivieren unter Big Sur?

    Hat den wer im Kopf? Hatte bei YT 67000000 gefunden, das scheint aber nicht korrekt zu sein.


    Danke und viele Grüße,

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

    Hey, super!


    DANKESCHÖN für die Info! :-)

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

    Aber daran denken, dass dann keine MacOS-Updates angeboten werden!

    Besser als die SIP einfach mal komplett zu deaktivieren wäre es den Wert für die csr-active-config passend zu dem zu wählen was man erreichen möchte ;) Der Wert FF0F0000 deaktiviert zwar die SIP vollständig (inkl. Authenticated Root) allerdings zu dem Preis das man dann auch keinen System Updates mehr angeboten bekommt. Die Fragestellung an der Stelle muss also vielmehr lauten was will ich mit dem deaktivieren der SIP eigentlich erreichen und welche weniger aggressiven Einstellungen kann ich ggf. wählen um das zu erreichen?

    Haswell, Notebook

    Ich nutze die Software SoftRAID, eine RME-PCIe Audiokarte sowie eine UAD TB Box.

    Weder Software nur Treiber für die beiden Audiodinge konnte ich installieren.

    Kann man ja normalerweise manuell unter Sicherheit & Datzenschutz "erlauben"

    wenn dem OS das nicht verfiziert genug ist. Ploppte aber kein Fenster zu auf.


    Auf einem anderen Rechner habe ich nur SoftRAID und keine zusätzliche Hardware.

    Nix zu machen.


    Der Support von SoftRAID schrieb heute nacht:



    "uninstall SoftRAID" from the volumes menu (click on your boot volume)
    Paste each command below into the terminal.app:

    sudo rm -r /Library/Extensions/hp_io_enabler_compound.kext
    sudo rm -r /Library/Extensions/daspi.kext
    sudo rm -r /Library/Extensions/DymoUsbPrinterClassDriver.kext
    sudo kmutil clear-staging
    sudo kextcache -i /

    Vor Neustart erschienen plötzlich die Volumes unter SoftRAID.

    Nach Neustart waren sie wieder weg.



    Viele Grüße,



    restart. Run SoftRAID, install the driver and before you restart, go to System Preferences/Security and "Allow" OWC as an identified developer.

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

    Okay aber das hat weniger mit der SIP und mehr mit dem Gatekeeper zu tun was Du da beschreibst. Das Installieren von Drittanbieter Extensions ist nämlich durchaus auch mit komplett aktiver SIP möglich bzw. ist es von Apple genau so auch vorgesehen nur signiert müssen sie dann halt sein. Die Abfrage nach dem erlauben wird über den Gatekeeper getriggert allerdings nur dann wenn der auch aktiv ist (unter Einstellungen -> Sicherheit ist der Punkt Apps Download erlauben von Überall nicht vorhanden). Für Deinen angedachten Zweck ist es jedenfalls nicht notwendig die SIP komplett zu deaktivieren sondern es würde vermutlich schon reichen unsignierte Extensions zu erlauben. Ich fahre bei mir mit dem Wert 67F00000 was folgender Einstellung entspricht:


    Code
    1. CSR_ALLOW_EXECUTABLE_POLICY_OVERRIDE
    2. CSR_ALLOW_UNAPPROVED_KEXTS
    3. CSR_ALLOW_UNRESTRICTED_NVRAM
    4. CSR_ALLOW_UNRESTRICTED_DTRACE
    5. CSR_ALLOW_APPLE_INTERNAL
    6. CSR_ALLOW_KERNEL_DEBUGGER
    7. CSR_ALLOW_TASK_FOR_PID
    8. CSR_ALLOW_UNRESTRICTED_FS
    9. CSR_ALLOW_UNTRUSTED_KEXTS


    Erlaubt mir alles was ich benötige schränkt aber die Möglichkeit zum Beispiel Updates zu erhalten in keinster Weise ein.

    Haswell, Notebook

    Ich denke, Du brauchst keine Änderung der SIP, sondern nur die Möglichkeit, den Gatekeeper abzustellen. Und das geht mit einem einfachen Terminal-Befehl, der auch irgendwo im Entwickler-Handbuch versteckt ist: mit

    Code
    1. sudo spctl --master-disable

    wird der Gatekeeper abgestellt, kann aber auch ohne weiteren Rückgriff auf Terminal wieder eingeschaltet werden: unter "Systemeinstellungen/Sicherheit/Allgemein" ist der dritte Punkt "Überall" wieder da, ganz unabhängig von irgendwelchen Einstellungen des Booters.



    Zum Umschalten darf man dann natürlich das Schloß mit dem Passwort nicht vergessen.

    Bei mir bleibt es auf "Überall", denn die normale Abfrage des Passwortes wird damit nicht abgestellt.

    Also ganz einfach, und völlig egal, welche Einstellungen für die SIP im Booter stehen.

    Meine Rechner


    :hackintosh:

    Wow, und schon Problem dauerhaft gelöst! Vielen lieben Dank!!!!!!!!


    :-)

    ASUS Prime Deluxe II mit i9 10980XE, 128GB G.SKILL 3200er mit 1x 6900XT, RAID5 24TB HDD, RAID5 6TB SSD, 1x M2 SSD 1TB System

    ASUS Prime Deluxe II mit i9 10980XE, 64GB G.SKILL 3200er mit 1x 6900XT, RAID5 20TB HDD, 1x M2 SSD 1TB System

    ASUS Prime Z390-A mit i7 8700, 32GB Corsair RGB 3600er mit 1x Saphire8GB, ASUS Thunderbolt EX3, 1x M2 SSD 500GB System

    Zitat von griven

    Okay aber das hat weniger mit der SIP und mehr mit dem Gatekeeper zu tun was Du da beschreibst. Das Installieren von Drittanbieter Extensions ist nämlich durchaus auch mit komplett aktiver SIP möglich bzw. ist es von Apple genau so auch vorgesehen nur signiert müssen sie dann halt sein. Die Abfrage nach dem erlauben wird über den Gatekeeper getriggert allerdings nur dann wenn der auch aktiv ist (unter Einstellungen -> Sicherheit ist der Punkt Apps Download erlauben von Überall nicht vorhanden). Für Deinen angedachten Zweck ist es jedenfalls nicht notwendig die SIP komplett zu deaktivieren sondern es würde vermutlich schon reichen unsignierte Extensions zu erlauben. Ich fahre bei mir mit dem Wert 67F00000 was folgender Einstellung entspricht:


    Code
    1. CSR_ALLOW_EXECUTABLE_POLICY_OVERRIDE
    2. CSR_ALLOW_UNAPPROVED_KEXTS
    3. CSR_ALLOW_UNRESTRICTED_NVRAM
    4. CSR_ALLOW_UNRESTRICTED_DTRACE
    5. CSR_ALLOW_APPLE_INTERNAL
    6. CSR_ALLOW_KERNEL_DEBUGGER
    7. CSR_ALLOW_TASK_FOR_PID
    8. CSR_ALLOW_UNRESTRICTED_FS
    9. CSR_ALLOW_UNTRUSTED_KEXTS


    Erlaubt mir alles was ich benötige schränkt aber die Möglichkeit zum Beispiel Updates zu erhalten in keinster Weise ein.



    Moin Leute.... ich mal wieder.


    Ich arbeite mit OCAT -- > neueste Version. Und OC 0.9.0 auf macOS Ventura 13.2.1


    Das Systemupdate von 13.0 --> 13.2.1 habe ich manuell mit AnymacOS gemacht.


    Ich möchte gern zukünftig, sofern möglich, System (vor allem Sicherheitsupdates) über das MAcOS System selbst erhalten.


    Leider stell ich mich gerade zu blöd an, folgende Einträge mit OCAT zu machen.


    Einmal den von griven 67F00000


    bzw. das hier von al6042


    Ansonsten gilt unter OpenCore:

    Du schaust in der config.plist deines Bootloaders, welcher Wert bei

    • "NVRAM -> Add -> 7C436110-AB2A-4BBB-A880-FE41995C9F82 -> csr-active-config"

    eingetragen ist.


    Dazu kombiniert man noch einen zusätzlichen Eintrag unter

    • "NVRAM -> Delete -> 7C436110-AB2A-4BBB-A880-FE41995C9F82 -> fortlaufende Nummer" = "csr-active-config"

    damit der erste Eintrag bei jedem Neustart neu eingelesen wird und man sich die NVRAM-Resets erspart.



    KAnn mir vielleicht jemand helfen wie ich das mit OCAT umsetze?


    Ein Screenshot?


    OCTOOLBOX von NOIROSX wirft folgendes aus.


    Hardware:


    1. Original MacMini Late 2012


    2. Ipad Pro 12.9 2018


    3. HacMini Late 2018 ( Intel NUC 8I7HVK Hades Canyon )

    Moinsen :)

    Nichts einfacher als das *gg*


    Geh in OCAT auf den Punkt NVRAM -> Add -> 7C436110-AB2A-4BBB-A880-FE41995C9F82 und trage den Wert dort wie im Screenshot gezeigt einfach manuell ein.


    Haswell, Notebook

    Danke griven


    Bei mir steht allerdings schon das hier drinnen.

    Soll/kann ich den Löschen?


    Und deinen Eintrag einfach zusätzlich dazu, oder ersetzen.


    • "NVRAM -> Delete -> 7C436110-AB2A-4BBB-A880-FE41995C9F82 -> fortlaufende Nummer" = "csr-active-config"

    Was meint al6042 hier mit Fortlaufender Nummer?


    Muss der Typ bei NVRAM ---> Delete auch "data" sein?

    Hardware:


    1. Original MacMini Late 2012


    2. Ipad Pro 12.9 2018


    3. HacMini Late 2018 ( Intel NUC 8I7HVK Hades Canyon )

    Nichts löschen, einfach die Zeile dazu. Dass das Löschen in der Liste steht, sorgt nur dafür, dass ein geänderter Wert hier auch angenommen werden kann. Deshalb steht "Delete" in der OC-Liste auch immer vor "Add": Platz schaffen für neue Werte..

    Meine Rechner


    :hackintosh:

    Mit der fortlaufenden Nummer ist nichts spezifisches gemeint (vielleicht ein wenig unglücklich formuliert) es meint lediglich die Nummer vor dem Eintrag sonst nix ;)

    Ansonsten so, wie MacGrummel schreibt einfach die Zeile hinzufügen unter Add (was da schon steht bleibt stehen) und unter Delete kommt nur der Key hin ohne irgendeinen Typen also so:


    Haswell, Notebook

    Moinsen....


    Ich habe das nun umgesetzt und sieht bei mir wie folgt aus.







    Folgende Änderungen habe ich gemacht.



    Und diese hier.




    Rein Theoretisch müsste ich ja dann spätestens ab nächster Woche den Release Candidate


    Also 13.3 RC angezeigt bekommen unter Systemupdates.


    https://www.mactechnews.de/new…er-Marktreife-182192.html


    Mal kieken ob das so passiert.


    Ich berichte.


    Was ist wenn nicht. Kann ich da noch etwas machen? Ausser AnyMAcOS.




    Zitat von MacGrummel

    Nichts löschen, einfach die Zeile dazu. Dass das Löschen in der Liste steht, sorgt nur dafür, dass ein geänderter Wert hier auch angenommen werden kann. Deshalb steht "Delete" in der OC-Liste auch immer vor "Add": Platz schaffen für neue Werte..


    Bei mir steht aber erst ADD und dann delete. zumindest bei OCAT.

    Hardware:


    1. Original MacMini Late 2012


    2. Ipad Pro 12.9 2018


    3. HacMini Late 2018 ( Intel NUC 8I7HVK Hades Canyon )

    Einmal editiert, zuletzt von Maulwurf ()

    Es ist egal, wie "Add" oder "Delete" in OCAT angeordnet sind. OCAT ist nur ein Werkzeug zum Bearbeiten der Konfigurationsdatei. Opencore entscheidet in welcher Reihenfolge die Konfiguration geladen wird.

    Spoiler anzeigen