MacBook的SIP是干嘛用的？怎么关闭？

有些小伙伴在自己的MacBook上安装某款APP的时候、可能会遇到死活都装不上（或打不开）的情况，Mac上弹出跟下图类似的错误提示：“xxx”因为出现问题而无法打开，请与开发者联系，于是就去百度找解决方案，然后发现网上都说需要“关闭SIP”才行，但对Mac系统的SIP功能又缺乏了解，不知道SIP到底是干嘛用的、关闭它会对MacBook造成什么坏的影响，因此，今天给大家介绍一下Mac系统的SIP功能。

1、什么是SIP？它有何作用？

SIP（即System Integrity Protection的缩写，中文意思是：系统完整性保护），是Mac OS 10.11 El Capitan版本引入的一项系统安全功能，它的作用是保护Mac OS操作系统内部重要文件和文件夹，阻止任何软件对它们进行篡改，开启SIP功能以后（默认为启用），就算你是Mac系统的管理员账户和root用户，也无法对受保护对象进行修改，这样就能起到阻止木马病毒入侵、破坏系统文件的目的。

其实早在SIP技术引入之前、Mac OS 10.6版本就采用另外一项保护系统安全的技术–沙盒机制，沙盒机制规定了所有上架App Store的APP都必须遵守沙盒策略，严格限制其访问系统文件、内存、硬件、外部设备的权限，因此App Store内上架的软件都是安全的（我无法使用“绝对安全”这个说法，但是我相信苹果商店内上架的APP，99.999%以上都是安全可靠的）。

既然已经有了沙盒技术、为什么还加入SIP呢？其实这是因为沙盒技术只能限制App Store内上架软件的权限、却不能控制互联网上发布软件的权限，而有不少Mac用户都是喜欢到网上下载软件使用的，因此SIP技术是沙盒技术的一种补充。

2、为什么APP装不上的时候、网上说要“关闭SIP”？

Mac系统引入的SIP功能，也不是没有弊端的，因为SIP功能只是被动的阻止所有对象对受保护文件进行篡改，它本身并不能识别软件到底是用户需要的正常APP、还是病毒木马，简单来说，SIP是“敌我不分”的AOE群攻技能。

有一些Mac软件（这里说的是正规软件，不是恶意软件）确实对系统文件、内存、硬件有比较高的访问需求，比如系统维护类、垃圾清理类、病毒查杀类等等，它们的开发商一般都会同时在App Store和互联网渠道上架2个不同的版本，其中App Store内上架的是功能受限版本、而在官网或其他渠道上架的则是全功能版本，举个例子，很多小伙伴都知道的腾讯柠檬清理，就有苹果商店版和官网版2个版本，其中商店版就是“功能阉割”的。

上面这类软件，在安装的时候就有可能会需要关闭SIP功能才能安装（当然并非一定，看开发者是怎么设定的，有些权限受限也允许安装和运行，只不过部分功能受限（用不了），那样就变成阉割版了），这就是网上说的“关闭SIP就能安装”这个说法的由来。

3、如何关闭SIP？

1、检查SIP当前的状态

关闭SIP之前，我们先要查看SIP当前状态（开还是关），你可以通过依次点击桌面顶部的苹果图标–>关于本机–>系统报告–>软件，打开之后，查看右侧的“系统完整性保护”这一项，如果它的状态是“已启用”、则说明SIP当前是打开的，反之，如果显示“已停用”、则SIP已经是关闭状态了（无需再关闭）。

2、让Mac进入到“恢复模式”

SIP在正常开机状态下是无法关闭的（需要进入到“恢复模式”），这样做也是为了保护SIP自身的安全，设想一下，如果在正常开机状态下能够随意的关闭SIP（比如点两下鼠标、或者在终端内输入一条命令），那其他恶意软件或病毒完全可以通过“诱骗”、“诱导”的形式让用户将SIP关掉，这样自然是极为不妥的。

进入“恢复模式”的办法，根据Mac芯片的不同（Intel机型、Apple芯片机型）操作方法也不一样：

Apple芯片：开机的同时、保持按住电源键不松手，直到出现带选项的“齿轮”图标界面，点击“齿轮”、并点击继续；

Intel芯片：开机的同时、按住键盘的Command (⌘)-R组合键，直到出现画面；

注意：进入恢复模式过程中，可能需要验证管理员密码，正确输入电脑密码即可。

3、关闭SIP

成功进入到“恢复模式”以后，关闭SIP的方法都是一样的（无论是哪种机型），点击当前屏幕顶部的“实用工具”菜单、在弹出的窗口内点击“终端”，然后你就会看到终端命令行窗口。

csrutil disable

接下来，在终端界面内，输入上面这条命令、按下回车键，稍等一会出现一行英文提示就说明SIP功能已经关闭了，这时候将Mac重启即可。

4、关于SIP的建议

上面介绍了SIP功能的作用、以及关闭SIP的方法，但是我个人是不建议大家这么做的，因为SIP功能是Mac系统抵御病毒、保护Mac电脑的重要防线，如果迫不得已需要关闭它（比如为了安装某个APP，这个APP你非用不可，对你很重要），那也请你再三确认你的安装文件来源可靠这个前提之后，你可以临时将SIP关掉，等安装完该APP、确定能够成功运行之后，再将SIP重新打开（不用担心，已经安装好的APP，再次打开SIP之后不会对它产生影响）。

重新打开SIP的操作方法，与关闭SIP完全一样，唯一的区别是将“csrutil disable”这条命令换成“csrutil enable”即可（也就是将disable这个单词、换成enable）。