macOS SIP

Reading time: 15 minutes

Βασικές Πληροφορίες

System Integrity Protection (SIP) στο macOS είναι ένας μηχανισμός σχεδιασμένος να αποτρέπει ακόμη και τους πιο προνομιούχους χρήστες από το να κάνουν μη εξουσιοδοτημένες αλλαγές σε βασικούς φακέλους του συστήματος. Αυτή η δυνατότητα παίζει κρίσιμο ρόλο στη διατήρηση της ακεραιότητας του συστήματος περιορίζοντας ενέργειες όπως η προσθήκη, η τροποποίηση ή η διαγραφή αρχείων σε προστατευμένες περιοχές. Οι κύριοι φάκελοι που προστατεύονται από το SIP περιλαμβάνουν:

• /System
• /bin
• /sbin
• /usr

Οι κανόνες που διέπουν τη συμπεριφορά του SIP ορίζονται στο αρχείο ρύθμισης που βρίσκεται στη /System/Library/Sandbox/rootless.conf. Μέσα σε αυτό το αρχείο, οι διαδρομές που προηγούνται από ένα αστερίσκο (*) αναφέρονται ως εξαιρέσεις στους κατά τα άλλα αυστηρούς περιορισμούς του SIP.

Σκεφτείτε το παρακάτω παράδειγμα:

/usr
* /usr/libexec/cups
* /usr/local
* /usr/share/man

Αυτό το απόσπασμα υποδηλώνει ότι ενώ το SIP γενικά ασφαλίζει τον /usr κατάλογο, υπάρχουν συγκεκριμένοι υποκατάλογοι (/usr/libexec/cups, /usr/local, και /usr/share/man) όπου οι τροποποιήσεις είναι επιτρεπτές, όπως υποδεικνύεται από το αστερίσκο (*) που προηγείται των διαδρομών τους.

Για να επαληθεύσετε αν ένας κατάλογος ή αρχείο είναι προστατευμένο από το SIP, μπορείτε να χρησιμοποιήσετε την εντολή ls -lOd για να ελέγξετε την παρουσία της σημαίας restricted ή sunlnk. Για παράδειγμα:

ls -lOd /usr/libexec/cups
drwxr-xr-x  11 root  wheel  sunlnk 352 May 13 00:29 /usr/libexec/cups

Σε αυτή την περίπτωση, η σημαία sunlnk υποδηλώνει ότι ο φάκελος /usr/libexec/cups δεν μπορεί να διαγραφεί, αν και τα αρχεία μέσα σε αυτόν μπορούν να δημιουργηθούν, να τροποποιηθούν ή να διαγραφούν.

Από την άλλη πλευρά:

ls -lOd /usr/libexec
drwxr-xr-x  338 root  wheel  restricted 10816 May 13 00:29 /usr/libexec

Εδώ, η restricted σημαία υποδεικνύει ότι ο φάκελος /usr/libexec προστατεύεται από το SIP. Σε έναν φάκελο που προστατεύεται από το SIP, δεν μπορούν να δημιουργηθούν, να τροποποιηθούν ή να διαγραφούν αρχεία.

Επιπλέον, αν ένα αρχείο περιέχει την ιδιότητα com.apple.rootless εκτεταμένη ιδιότητα, αυτό το αρχείο θα είναι επίσης προστατευμένο από το SIP.

Το SIP περιορίζει επίσης άλλες ενέργειες root όπως:

• Φόρτωση μη αξιόπιστων επεκτάσεων πυρήνα
• Λήψη task-ports για διαδικασίες υπογεγραμμένες από την Apple
• Τροποποίηση μεταβλητών NVRAM
• Επιτρέποντας την αποσφαλμάτωση πυρήνα

Οι επιλογές διατηρούνται στη μεταβλητή nvram ως bitflag (csr-active-config σε Intel και lp-sip0 διαβάζεται από το εκκινηθέν Device Tree για ARM). Μπορείτε να βρείτε τις σημαίες στον πηγαίο κώδικα XNU στο csr.sh:

Κατάσταση SIP

Μπορείτε να ελέγξετε αν το SIP είναι ενεργοποιημένο στο σύστημά σας με την παρακάτω εντολή:

csrutil status

Αν χρειάζεται να απενεργοποιήσετε το SIP, πρέπει να επανεκκινήσετε τον υπολογιστή σας σε λειτουργία ανάκτησης (πατώντας Command+R κατά την εκκίνηση), στη συνέχεια εκτελέστε την παρακάτω εντολή:

csrutil disable

Αν θέλετε να διατηρήσετε το SIP ενεργοποιημένο αλλά να αφαιρέσετε τις προστασίες αποσφαλμάτωσης, μπορείτε να το κάνετε με:

csrutil enable --without debug

Άλλοι Περιορισμοί

• Απαγορεύει τη φόρτωση μη υπογεγραμμένων επεκτάσεων πυρήνα (kexts), διασφαλίζοντας ότι μόνο οι επαληθευμένες επεκτάσεις αλληλεπιδρούν με τον πυρήνα του συστήματος.
• Αποτρέπει την αποσφαλμάτωση των διαδικασιών συστήματος macOS, προστατεύοντας τα βασικά συστατικά του συστήματος από μη εξουσιοδοτημένη πρόσβαση και τροποποίηση.
• Αναστέλλει εργαλεία όπως το dtrace από την επιθεώρηση διαδικασιών συστήματος, προστατεύοντας περαιτέρω την ακεραιότητα της λειτουργίας του συστήματος.

Μάθετε περισσότερα για τις πληροφορίες SIP σε αυτή την ομιλία.

Σχετικές Εξουσιοδοτήσεις SIP

• com.apple.rootless.xpc.bootstrap: Έλεγχος launchd
• com.apple.rootless.install[.heritable]: Πρόσβαση στο σύστημα αρχείων
• com.apple.rootless.kext-management: kext_request
• com.apple.rootless.datavault.controller: Διαχείριση UF_DATAVAULT
• com.apple.rootless.xpc.bootstrap: Δυνατότητες ρύθμισης XPC
• com.apple.rootless.xpc.effective-root: Ρίζα μέσω launchd XPC
• com.apple.rootless.restricted-block-devices: Πρόσβαση σε ακατέργαστες συσκευές μπλοκ
• com.apple.rootless.internal.installer-equivalent: Απεριόριστη πρόσβαση στο σύστημα αρχείων
• com.apple.rootless.restricted-nvram-variables[.heritable]: Πλήρης πρόσβαση σε NVRAM
• com.apple.rootless.storage.label: Τροποποίηση αρχείων που περιορίζονται από το com.apple.rootless xattr με την αντίστοιχη ετικέτα
• com.apple.rootless.volume.VM.label: Διατήρηση VM swap στον τόμο

Παράκαμψη SIP

Η παράκαμψη του SIP επιτρέπει σε έναν επιτιθέμενο να:

• Πρόσβαση σε Δεδομένα Χρήστη: Διαβάστε ευαίσθητα δεδομένα χρήστη όπως αλληλογραφία, μηνύματα και ιστορικό Safari από όλους τους λογαριασμούς χρηστών.
• Παράκαμψη TCC: Άμεση χειραγώγηση της βάσης δεδομένων TCC (Διαφάνεια, Συναίνεση και Έλεγχος) για να παραχωρήσετε μη εξουσιοδοτημένη πρόσβαση στην κάμερα, το μικρόφωνο και άλλους πόρους.
• Καθ establishment Persistence: Τοποθέτηση κακόβουλου λογισμικού σε τοποθεσίες προστατευμένες από SIP, καθιστώντας το ανθεκτικό στην αφαίρεση, ακόμη και από δικαιώματα root. Αυτό περιλαμβάνει επίσης τη δυνατότητα παραποίησης του Εργαλείου Αφαίρεσης Κακόβουλου Λογισμικού (MRT).
• Φόρτωση Επεκτάσεων Πυρήνα: Αν και υπάρχουν επιπλέον προστασίες, η παράκαμψη του SIP απλοποιεί τη διαδικασία φόρτωσης μη υπογεγραμμένων επεκτάσεων πυρήνα.

Πακέτα Εγκατάστασης

Τα πακέτα εγκατάστασης που υπογράφονται με το πιστοποιητικό της Apple μπορούν να παρακάμψουν τις προστασίες του. Αυτό σημαίνει ότι ακόμη και τα πακέτα που υπογράφονται από τυπικούς προγραμματιστές θα αποκλειστούν αν προσπαθήσουν να τροποποιήσουν καταλόγους προστατευμένους από SIP.

Μη Υπάρχον Αρχείο SIP

Ένα πιθανό παραθυράκι είναι ότι αν ένα αρχείο καθοριστεί στο rootless.conf αλλά δεν υπάρχει αυτή τη στιγμή, μπορεί να δημιουργηθεί. Το κακόβουλο λογισμικό θα μπορούσε να εκμεταλλευτεί αυτό για να καθιερώσει μόνιμη παρουσία στο σύστημα. Για παράδειγμα, ένα κακόβουλο πρόγραμμα θα μπορούσε να δημιουργήσει ένα αρχείο .plist στο /System/Library/LaunchDaemons αν είναι καταχωρημένο στο rootless.conf αλλά δεν είναι παρόν.

com.apple.rootless.install.heritable

CVE-2019-8561

Ανακαλύφθηκε ότι ήταν δυνατό να ανταλλάξετε το πακέτο εγκατάστασης αφού το σύστημα επιβεβαίωσε την υπογραφή του κώδικα και στη συνέχεια, το σύστημα θα εγκαθιστούσε το κακόβουλο πακέτο αντί για το αρχικό. Καθώς αυτές οι ενέργειες εκτελούνταν από system_installd, θα επέτρεπε την παράκαμψη του SIP.

CVE-2020–9854

Αν ένα πακέτο εγκαταστάθηκε από μια προσαρτημένη εικόνα ή εξωτερικό δίσκο, ο εγκαταστάτης θα εκτελούσε το δυαδικό από αυτό το σύστημα αρχείων (αντί από μια τοποθεσία προστατευμένη από SIP), κάνοντάς το system_installd να εκτελεί ένα αυθαίρετο δυαδικό.

CVE-2021-30892 - Shrootless

Ερευνητές από αυτή την ανάρτηση blog ανακάλυψαν μια ευπάθεια στον μηχανισμό Προστασίας Ακεραιότητας Συστήματος (SIP) του macOS, που ονομάζεται 'Shrootless'. Αυτή η ευπάθεια επικεντρώνεται γύρω από τον δαίμονα system_installd, ο οποίος έχει μια εξουσιοδότηση, com.apple.rootless.install.heritable, που επιτρέπει σε οποιαδήποτε από τις διαδικασίες παιδιών του να παρακάμψει τους περιορισμούς του συστήματος αρχείων SIP.

Ο δαίμονας system_installd θα εγκαταστήσει πακέτα που έχουν υπογραφεί από Apple.

Οι ερευνητές διαπίστωσαν ότι κατά την εγκατάσταση ενός πακέτου υπογεγραμμένου από την Apple (.pkg αρχείο), ο system_installd εκτελεί οποιαδήποτε σενάρια μετά την εγκατάσταση που περιλαμβάνονται στο πακέτο. Αυτά τα σενάρια εκτελούνται από το προεπιλεγμένο κέλυφος, zsh, το οποίο αυτόματα εκτελεί εντολές από το /etc/zshenv αρχείο, αν υπάρχει, ακόμη και σε μη διαδραστική λειτουργία. Αυτή η συμπεριφορά θα μπορούσε να εκμεταλλευτεί από επιτιθέμενους: δημιουργώντας ένα κακόβουλο αρχείο /etc/zshenv και περιμένοντας να καλέσει το system_installd το zsh, θα μπορούσαν να εκτελέσουν αυθαίρετες ενέργειες στη συσκευή.

Επιπλέον, ανακαλύφθηκε ότι το /etc/zshenv θα μπορούσε να χρησιμοποιηθεί ως γενική τεχνική επίθεσης, όχι μόνο για μια παράκαμψη SIP. Κάθε προφίλ χρήστη έχει ένα αρχείο ~/.zshenv, το οποίο συμπεριφέρεται με τον ίδιο τρόπο όπως το /etc/zshenv αλλά δεν απαιτεί δικαιώματα root. Αυτό το αρχείο θα μπορούσε να χρησιμοποιηθεί ως μηχανισμός μόνιμης παρουσίας, ενεργοποιούμενο κάθε φορά που ξεκινά το zsh, ή ως μηχανισμός ανύψωσης προνομίων. Αν ένας χρήστης διαχειριστής ανυψωθεί σε root χρησιμοποιώντας sudo -s ή sudo <εντολή>, το αρχείο ~/.zshenv θα ενεργοποιηθεί, ανυψώνοντας αποτελεσματικά σε root.

CVE-2022-22583

Στο CVE-2022-22583 ανακαλύφθηκε ότι η ίδια διαδικασία system_installd θα μπορούσε να καταχραστεί επειδή τοποθετούσε το σενάριο μετά την εγκατάσταση σε έναν τυχαία ονομασμένο φάκελο προστατευμένο από SIP μέσα στο /tmp. Το θέμα είναι ότι το /tmp από μόνο του δεν προστατεύεται από SIP, οπότε ήταν δυνατό να προσαρτηθεί μια εικονική εικόνα σε αυτό, στη συνέχεια ο εγκαταστάτης θα τοποθετούσε εκεί το σενάριο μετά την εγκατάσταση, αποσύνδεε την εικονική εικόνα, αναδημιουργούσε όλους τους φακέλους και πρόσθετε το σενάριο μετά την εγκατάσταση με το payload για εκτέλεση.

fsck_cs utility

Μια ευπάθεια εντοπίστηκε όπου το fsck_cs παραπλανήθηκε να διαφθείρει ένα κρίσιμο αρχείο, λόγω της ικανότητάς του να ακολουθεί συμβολικούς συνδέσμους. Συγκεκριμένα, οι επιτιθέμενοι δημιούργησαν έναν σύνδεσμο από /dev/diskX στο αρχείο /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist. Η εκτέλεση του fsck_cs στο /dev/diskX οδήγησε στη διαφθορά του Info.plist. Η ακεραιότητα αυτού του αρχείου είναι ζωτικής σημασίας για την SIP (Προστασία Ακεραιότητας Συστήματος) του λειτουργικού συστήματος, η οποία ελέγχει τη φόρτωση επεκτάσεων πυρήνα. Μόλις διαφθαρεί, η ικανότητα του SIP να διαχειρίζεται τις εξαιρέσεις πυρήνα διακυβεύεται.

Οι εντολές για την εκμετάλλευση αυτής της ευπάθειας είναι:

ln -s /System/Library/Extensions/AppleKextExcludeList.kext/Contents/Info.plist /dev/diskX
fsck_cs /dev/diskX 1>&-
touch /Library/Extensions/
reboot

Η εκμετάλλευση αυτής της ευπάθειας έχει σοβαρές επιπτώσεις. Το αρχείο Info.plist, το οποίο είναι κανονικά υπεύθυνο για τη διαχείριση των δικαιωμάτων για τις επεκτάσεις πυρήνα, καθίσταται αναποτελεσματικό. Αυτό περιλαμβάνει την αδυναμία να αποκλειστούν ορισμένες επεκτάσεις, όπως η AppleHWAccess.kext. Ως εκ τούτου, με τον μηχανισμό ελέγχου του SIP εκτός λειτουργίας, αυτή η επέκταση μπορεί να φορτωθεί, παρέχοντας μη εξουσιοδοτημένη πρόσβαση ανάγνωσης και εγγραφής στη μνήμη RAM του συστήματος.

Mount over SIP protected folders

Ήταν δυνατό να τοποθετηθεί ένα νέο σύστημα αρχείων πάνω από SIP protected folders για να παρακαμφθεί η προστασία.

mkdir evil
# Add contento to the folder
hdiutil create -srcfolder evil evil.dmg
hdiutil attach -mountpoint /System/Library/Snadbox/ evil.dmg

Upgrader bypass (2016)

Το σύστημα είναι ρυθμισμένο να εκκινεί από μια ενσωματωμένη εικόνα δίσκου εγκατάστασης μέσα στο Install macOS Sierra.app για να αναβαθμίσει το λειτουργικό σύστημα, χρησιμοποιώντας το εργαλείο bless. Η εντολή που χρησιμοποιείται είναι η εξής:

/usr/sbin/bless -setBoot -folder /Volumes/Macintosh HD/macOS Install Data -bootefi /Volumes/Macintosh HD/macOS Install Data/boot.efi -options config="\macOS Install Data\com.apple.Boot" -label macOS Installer

Η ασφάλεια αυτής της διαδικασίας μπορεί να παραβιαστεί αν ένας επιτιθέμενος τροποποιήσει την εικόνα αναβάθμισης (InstallESD.dmg) πριν από την εκκίνηση. Η στρατηγική περιλαμβάνει την αντικατάσταση ενός δυναμικού φορτωτή (dyld) με μια κακόβουλη έκδοση (libBaseIA.dylib). Αυτή η αντικατάσταση έχει ως αποτέλεσμα την εκτέλεση του κώδικα του επιτιθέμενου όταν ξεκινά ο εγκαταστάτης.

Ο κώδικας του επιτιθέμενου αποκτά έλεγχο κατά τη διάρκεια της διαδικασίας αναβάθμισης, εκμεταλλευόμενος την εμπιστοσύνη του συστήματος στον εγκαταστάτη. Η επίθεση προχωρά με την τροποποίηση της εικόνας InstallESD.dmg μέσω της μεθόδου swizzling, στοχεύοντας ιδιαίτερα τη μέθοδο extractBootBits. Αυτό επιτρέπει την ένεση κακόβουλου κώδικα πριν χρησιμοποιηθεί η εικόνα δίσκου.

Επιπλέον, μέσα στο InstallESD.dmg, υπάρχει ένα BaseSystem.dmg, το οποίο χρησιμεύει ως το ριζικό σύστημα αρχείων του κώδικα αναβάθμισης. Η ένεση μιας δυναμικής βιβλιοθήκης σε αυτό επιτρέπει στον κακόβουλο κώδικα να λειτουργεί μέσα σε μια διαδικασία ικανή να τροποποιεί αρχεία επιπέδου OS, αυξάνοντας σημαντικά την πιθανότητα παραβίασης του συστήματος.

systemmigrationd (2023)

Σε αυτή την ομιλία από DEF CON 31, δείχνεται πώς το systemmigrationd (το οποίο μπορεί να παρακάμψει το SIP) εκτελεί ένα bash και ένα perl script, τα οποία μπορούν να καταχραστούν μέσω των μεταβλητών περιβάλλοντος BASH_ENV και PERL5OPT.

CVE-2023-42860

Όπως αναφέρεται σε αυτή την ανάρτηση blog, ένα script postinstall από τα πακέτα InstallAssistant.pkg επέτρεπε την εκτέλεση:

/usr/bin/chflags -h norestricted "${SHARED_SUPPORT_PATH}/SharedSupport.dmg"

και ήταν δυνατό να δημιουργηθεί ένα symlink στο ${SHARED_SUPPORT_PATH}/SharedSupport.dmg που θα επέτρεπε σε έναν χρήστη να αφαιρέσει περιορισμούς από οποιοδήποτε αρχείο, παρακάμπτοντας την προστασία SIP.

com.apple.rootless.install

Η εξουσιοδότηση com.apple.rootless.install είναι γνωστό ότι παρακάμπτει την Προστασία Ακεραιότητας Συστήματος (SIP) στο macOS. Αυτό αναφέρθηκε ιδιαίτερα σε σχέση με CVE-2022-26712.

Σε αυτήν την συγκεκριμένη περίπτωση, η υπηρεσία XPC του συστήματος που βρίσκεται στο /System/Library/PrivateFrameworks/ShoveService.framework/Versions/A/XPCServices/SystemShoveService.xpc διαθέτει αυτήν την εξουσιοδότηση. Αυτό επιτρέπει στη σχετική διαδικασία να παρακάμψει τους περιορισμούς του SIP. Επιπλέον, αυτή η υπηρεσία παρουσιάζει μια μέθοδο που επιτρέπει τη μετακίνηση αρχείων χωρίς να επιβάλλει κανένα μέτρο ασφαλείας.

Σφραγισμένα Στιγμιότυπα Συστήματος

Τα Σφραγισμένα Στιγμιότυπα Συστήματος είναι μια δυνατότητα που εισήγαγε η Apple στο macOS Big Sur (macOS 11) ως μέρος του μηχανισμού Προστασίας Ακεραιότητας Συστήματος (SIP) για να παρέχει μια επιπλέον στρώση ασφάλειας και σταθερότητας του συστήματος. Είναι ουσιαστικά αναγνώσιμες εκδόσεις του όγκου του συστήματος.

Ακολουθεί μια πιο λεπτομερής ματιά:

1. Αμετάβλητο Σύστημα: Τα Σφραγισμένα Στιγμιότυπα Συστήματος καθιστούν τον όγκο του macOS "αμετάβλητο", πράγμα που σημαίνει ότι δεν μπορεί να τροποποιηθεί. Αυτό αποτρέπει οποιεσδήποτε μη εξουσιοδοτημένες ή τυχαίες αλλαγές στο σύστημα που θα μπορούσαν να θέσουν σε κίνδυνο την ασφάλεια ή τη σταθερότητα του συστήματος.
2. Ενημερώσεις Λογισμικού Συστήματος: Όταν εγκαθιστάτε ενημερώσεις ή αναβαθμίσεις macOS, το macOS δημιουργεί ένα νέο στιγμιότυπο συστήματος. Ο όγκος εκκίνησης του macOS χρησιμοποιεί στη συνέχεια APFS (Apple File System) για να μεταβεί σε αυτό το νέο στιγμιότυπο. Ολόκληρη η διαδικασία εφαρμογής ενημερώσεων γίνεται πιο ασφαλής και αξιόπιστη καθώς το σύστημα μπορεί πάντα να επιστρέψει στο προηγούμενο στιγμιότυπο αν κάτι πάει στραβά κατά τη διάρκεια της ενημέρωσης.
3. Διαχωρισμός Δεδομένων: Σε συνδυασμό με την έννοια του διαχωρισμού Δεδομένων και Όγκου Συστήματος που εισήχθη στο macOS Catalina, η δυνατότητα Σφραγισμένου Στιγμιότυπου Συστήματος διασφαλίζει ότι όλα τα δεδομένα και οι ρυθμίσεις σας αποθηκεύονται σε έναν ξεχωριστό όγκο "Δεδομένα". Αυτός ο διαχωρισμός καθιστά τα δεδομένα σας ανεξάρτητα από το σύστημα, διευκολύνοντας τη διαδικασία ενημερώσεων του συστήματος και ενισχύοντας την ασφάλεια του συστήματος.

Θυμηθείτε ότι αυτά τα στιγμιότυπα διαχειρίζονται αυτόματα από το macOS και δεν καταλαμβάνουν επιπλέον χώρο στον δίσκο σας, χάρη στις δυνατότητες κοινής χρήσης χώρου του APFS. Είναι επίσης σημαντικό να σημειωθεί ότι αυτά τα στιγμιότυπα διαφέρουν από τα στιγμιότυπα Time Machine, τα οποία είναι αντίγραφα ασφαλείας του συνόλου του συστήματος που είναι προσβάσιμα από τον χρήστη.

Έλεγχος Στιγμιότυπων

Η εντολή diskutil apfs list παραθέτει τις λεπτομέρειες των όγκων APFS και τη διάταξή τους:

+-- Container disk3 966B902E-EDBA-4775-B743-CF97A0556A13
|   ====================================================
|   APFS Container Reference:     disk3
|   Size (Capacity Ceiling):      494384795648 B (494.4 GB)
|   Capacity In Use By Volumes:   219214536704 B (219.2 GB) (44.3% used)
|   Capacity Not Allocated:       275170258944 B (275.2 GB) (55.7% free)
|   |
|   +-< Physical Store disk0s2 86D4B7EC-6FA5-4042-93A7-D3766A222EBE
|   |   -----------------------------------------------------------
|   |   APFS Physical Store Disk:   disk0s2
|   |   Size:                       494384795648 B (494.4 GB)
|   |
|   +-> Volume disk3s1 7A27E734-880F-4D91-A703-FB55861D49B7
|   |   ---------------------------------------------------
|   |   APFS Volume Disk (Role):   disk3s1 (System)
|   |   Name:                      Macintosh HD (Case-insensitive)
|   |   Mount Point:               /System/Volumes/Update/mnt1
|   |   Capacity Consumed:         12819210240 B (12.8 GB)
|   |   Sealed:                    Broken
|   |   FileVault:                 Yes (Unlocked)
|   |   Encrypted:                 No
|   |   |
|   |   Snapshot:                  FAA23E0C-791C-43FF-B0E7-0E1C0810AC61
|   |   Snapshot Disk:             disk3s1s1
|   |   Snapshot Mount Point:      /
|   |   Snapshot Sealed:           Yes
[...]
+-> Volume disk3s5 281959B7-07A1-4940-BDDF-6419360F3327
|   ---------------------------------------------------
|   APFS Volume Disk (Role):   disk3s5 (Data)
|   Name:                      Macintosh HD - Data (Case-insensitive)
    |   Mount Point:               /System/Volumes/Data
    |   Capacity Consumed:         412071784448 B (412.1 GB)
    |   Sealed:                    No
|   FileVault:                 Yes (Unlocked)

Στην προηγούμενη έξοδο είναι δυνατό να δει κανείς ότι οι προσιτές από τον χρήστη τοποθεσίες είναι τοποθετημένες κάτω από το /System/Volumes/Data.

Επιπλέον, το στιγμιότυπο όγκου συστήματος macOS είναι τοποθετημένο στο / και είναι σφραγισμένο (κρυπτογραφικά υπογεγραμμένο από το OS). Έτσι, αν παρακαμφθεί το SIP και τροποποιηθεί, το OS δεν θα εκκινήσει πλέον.

Είναι επίσης δυνατό να επιβεβαιωθεί ότι η σφραγίδα είναι ενεργοποιημένη εκτελώντας:

csrutil authenticated-root status
Authenticated Root status: enabled

Επιπλέον, ο δίσκος στιγμιότυπου είναι επίσης προσαρτημένος ως μόνο για ανάγνωση:

mount
/dev/disk3s1s1 on / (apfs, sealed, local, read-only, journaled)