시스템 무결성 보호(System Integrity Protection, SIP[1], 종종 '루트리스'(rootless)로 불린다[2][3])는 OS X 엘카피탠에서 처음 선보인 애플의 macOS 보안 기능이다. 시스템 무결성 보호는 커널의 여러 메커니즘으로 움직인다. 시스템 무결성 보호의 주요 특징은 시스템이 소유한 시스템 파일과 시스템 디렉터리를 특정한 자격 없이 수정할 수 없게 보호하는 것이다. 심지어, 슈퍼유저거나 혹은 sudo 명령어를 받아서라도 말이다. 이로 인해서 루트리스란 별칭이 붙게 되었다.
애플측은 루트 유저가 시스템 보안에 있어서 충분한 위험 요인이 있다고 설명하고 있다. 특히, 한 사용자 계정이 관리자 계정도 점유하는 경우에 특히 그렇다는 것이다. 시스템 무결성 보호는 기본으로 설정되어 있으나, 복구 모드에서 끌 수 있다.[4][5]
시스템 무결성 보호는 플래그가 붙은 시스템 파일과 디렉터리를 보호한다. 이는 또한 확장 파일 속성을 파일 혹은 디렉터리, /System/Library/Security/rootless.conf 혹은 양쪽 다 붙인다. 여기에 포함되는 보호받는 디렉터리는 다음과 같다: /System, /bin, /sbin, /usr (예외로 /usr/local은 제외된다.).[6]/etc, /tmp and /var to /private/etc, /private/tmp and /private/var 로부터의 심볼릭 링크도 또한 보호받으나, 목표 디렉터리는 보호받지 않는다. 또한 /Applications 폴더에 미리 설치된 애플 소프트웨어도 포함된다.[1]
설정
시스템 무결성 보호는 시스템 파티션 바깥에서 부분적이나 혹은 전체적으로 해제할 수 있다. 이를 위해 애플에서는 csrutil 콘솔 명령어를 맥의 복구 영역 혹은 부팅 인수를 추가한 NVRAM의 부팅가능한 macOS 부팅 미디어의 터미널에서 실행하도록 해놓았다. 이 설정은 엘 케피탄과 macOS 시에라가 설치된 맥에서 설정 가능하다.[4]