必须通过恢复模式禁用SIP:Intel Mac按Cmd+R进入,Apple Silicon长按电源键选Options;在恢复终端执行csrutil disable,M系列还需csrutil authenticated-root disable,重启后用csrutil status验证。
如果您需要对Mac系统底层进行深度调试、安装第三方内核扩展或修改受保护系统目录,则必须关闭系统完整性保护(SIP)。SIP是macOS内置的强制性安全机制,无法在正常运行状态下禁用,必须通过恢复环境执行专用命令。以下是关闭SIP的多种操作路径:
一、检查当前SIP状态
在执行任何修改前,需确认SIP是否已启用,避免重复操作或误判系统状态。该步骤可在常规系统中直接完成,无需重启。
1、打开“应用程序” > “实用工具” > “终端”。
2、输入命令:csrutil status,然后按回车键。
3、终端将返回明确状态提示:若显示System Integrity Protection status: enabled,则需继续后续关闭步骤;若为disabled,则无需操作。
二、进入恢复模式(Intel芯片Mac)
Intel架构Mac必须通过组合键触发恢复环境,该环境绕过主系统加载流程,提供无SIP限制的命令执行权限。
1、点击屏幕左上角苹果图标(),选择“重新启动”。
2、在Mac开始重启的瞬间,立即按住Command (⌘) + R不放。
3、持续按压直至屏幕上出现Apple标志或旋转地球图案后松开。
4、等待“macOS 实用工具”窗口完全加载,表示已成功进入恢复模式。
三、进入恢复模式(Apple Silicon芯片Mac)
M1/M2/M3等Apple Silicon芯片Mac采用统一固件架构,进入恢复模式的方式与Intel不同,需通过电源键长按触发启动选项界面。
1、确保Mac处于完全关机状态。
2、按住电源按钮不放,直到屏幕显示“正在载入启动选项…”。
3、松开电源键,等待启动选项界面出现。
4、点击界面中的选项(Options),然后点击“继续”。
5、如提示输入用户密码,输入当前登录账户的密码以验证身份。
四、使用终端禁用SIP核心命令
在恢复模式下启动终端,执行csrutil disable命令可永久禁用SIP保护层。该命令会写入NVRAM配置,影响下次系统启动行为。
1、在“macOS 实用工具”窗口顶部菜单栏,点击“实用工具”。
2、从下拉菜单中选择并启动“终端”。
3、在终端中输入:csrutil disable,然后按回车键。
4、若系统提示确认,输入y并回车;部分版本可能要求输入管理员密码。
5、终端输出Successfully disabled System Integrity Protection. Please restart the machine for the changes to take effect.即表示命令执行成功。
五、针对Apple Silicon芯片的附加禁用操作
Apple Silicon平台额外启用了authenticated-root机制,仅执行csrutil disable不足以完全解除对系统卷的写保护,必须同步禁用该子功能。
1、在完成第四步后,保持终端窗口开启状态。
2、输入命令:csrutil authenticated-root disable,然后按回车键。
3、终端应返回Successfully disabled authenticated root volume protection.
4、此步骤仅适用于M1及更新芯片机型,Intel机型无需执行。
六、重启使SIP关闭生效
所有禁用命令均需重启后才实际生效,系统将在无SIP干预状态下挂载根卷并加载内核。
1、关闭终端窗口。
2、点击屏幕左上角苹果图标(),选择“重新启动”。
3、或直接在终端中输入:reboot并回车,系统将自动重启。
4、重启完成后,系统将以SIP关闭状态启动,允许对/System、/usr、/bin等受保护路径进行写入操作。
七、验证SIP关闭结果
重启进入正常系统后,必须再次确认SIP状态是否真实变为disabled,防止因命令未生效或恢复模式退出异常导致误判。
1、打开“终端”应用程序。
2、输入命令:csrutil status,按回车。
3、终端返回内容必须严格包含System Integrity Protection status: disabled字样。
4、若仍显示enabled,请重复第二至第六步,重点检查是否遗漏Apple Silicon专属命令或恢复模式进入方式错误。
