kext Signing, Trim-Enabler, oder gar kein Yosemite
kext-signing abschalten? Bist du verrückt?
Egal, wer braucht schon kext-signing?
Egal, wer braucht schon Yosemite?
0Teilnehmer
Howdie Colegás, ich möchte heute mal eine lustige kleine Diskussion anstoßen: was haltet ihr vom kext-Signing, bzw. selbiges zu deaktiviern um zB den Trim-Enabler (TE) weiter unter Yosemite zu betreiben.
Ich bin am überlegen, ob ich für meine Yosemite-Installation das kext-signing ausschalte, weil eine neu eingebaute SSD doch inzwischen sehr lahmt (nach nichtmal zwei Monaten). Bisher hatte ich keinen gesteigerten Bedarf an signierten Kernelerweiterungen und sehe ihn auch jetzt nicht.
Trotzdem ist es ein wenig wie die Entwickler von TE selbst schreiben, eine Nuß mit dem Vorschlaghammer öffnen, wenn man für den TE die Signierung ausschaltet.
Was denkt ihr darüber?
Okay, für jene die nicht wissen wovon ich rede: mit Yosemite hat Apple zur Sicherheit ein Verfahren zur Signierung der Kernelerweiterungen eingeführt (kext-signing). Das verhindert nun, das man den TRIM-Enabler nutzen kann. Den TRIM-Enabler benötigt man, damit nicht Apple-eigene SSDs behandelt werden, wie man eben eine SSD behandelt (wenn man halt nicht Apple ist und Fremdhersteller grundsätzlich ausschliessen möchte).
Also - ich hab mal die erste Option gewählt. Immerhin gebe ich zwar zu, dass es eine Art “blöde Frage” (=unlösbares Dilemma) ist, ob man nun TE nutzen will und dafür dann die “Sicherheit” abschaltet - die ja sinnvoll mal per kext-signing eingeführt wurde.
Aber da nun Deus die Frage genau so gestellt hat, bin ich der Meinung, dass die beste Herangehensweise an eine solche Fragestellung einfach anders aussehen muss:
Apple muss sich “öffnen” und so sinnvollen Entwicklungen wie TE Zugang geben für Yosemite. Aber bitte dann auch testen, was die so treiben.
Ich hab auch ne Nachrüst-SSD drin, nutze aber wegen beschriebener Problematik TE nicht, 10.10.x aber schon!
Das war mit ein Grund, warum ich mich mit älteren Minis eingedeckt habe. Sinn macht das vielleicht in Unternehmensumgebungen. Es vergrätzt aber freie Entwickler und Portierer von Programmen anderer Umgebungen und das ist Software, die ich persönlich gerne nutze. Es ist ein nicht zu unterschätzender Sicherheitsgewinn für Unternehmen, sofern diese eben nicht Software einsetzten, dessen Entwickler sich nicht von Apple knebeln lassen wollen und der Sicherheisgewinn ist auch nur dann gegeben, wenn Apple nicht schlampt. Ich halte es für einen “Beschleunigungsfaktor” Software für Macs nur noch über den Apple App-Store zu vertreiben, weil außenstehende Entwickler erst die Hürde überspringen müssen, dass der Nutzer eine Sicherheitsfunktion anders setzt, wenn die Software eben nicht aus dem App-Store kommt (auch wenn der Entwickler signierte kext erstellen darf).
Für mich macht das Apple teurer, weil ich jetzt Arbeitsrechner und Hobbygerät trennen muß - ein weiterer Apple Rechner wird benötigt.
Zudem baut es eine Illusion auf, die so nicht gegeben ist - das Apple Rechner sicherer macht und diese somit unbedarft genutzt werden können. Es gibt noch viele Baustellen vom EFI das via FireWire und Thunderbolt penetriert werden kann bis hin zu OS X, wo es viele Gefahren auch durch unvollständige Dokumentation gegenüber freien Entwicklern erst entstehen und die Fix-Abteilung für Sicherheitsupdates bei Apple könnte auch öfters und schneller auf akute Gefahren reagieren. Kext-Signing ist gut, aber kein Allheilmittel, als das es von der Apple Werbeabteilung dargestellt wird.
Naja, aber eher friert die Hölle zu, als das Apple sich „öffnet“. Das Gegenteil lässt sich doch beobachten: Apple schottet sich und seine Hardware immer weiter ab.
Meine Frage dahinter ist auch folgende: welche Probleme hat es in der Vergangenheit mit „malware“ kext gegeben? Habe ich etwas verpasst oder steht der Zähler da immer noch auf 0? Ich sehe weit und breit nichts wirklich gefährliches, das sich als kext einnistet.
Eben. Wie viel ist Illusion und wie viel ist reale Gefahr? Ich tendiere zu „wer braucht schon kext-signing“.
Also… ohne Übertreiben zu wollen - ich habe mit Yosemite bisher super Erfahrungen gemacht. Es ist seidig und meist wirklich flott. Ist ne Samsung 840 Evo 1 TB im MacBook Pro 13" Nonretina. Solange es nicht CPU-lastig wird, ist die SSD im Air Early 2014 nur marginal schneller. Und ich finde es läuft schöner als unter Mavericks. Aber das mögen die Messergebnisse nicht unbedingt bestätigen.
Ist es für das TRIM notwendig, das regelmäßig (im Sinne von oft) zu machen, oder reicht es evtl. auch alle paar Monate (wenn Du das Gefühl hast, die SSD lahmt)? Vielleicht wärs ein - zugegeben umständlicher - Workaround, den TRIM Enabler nur dann alle paar Monate mal zu aktivieren resp. das kext-signing zu deaktivieren, einmal neu zu starten und danach wieder den Normalzustand einzustellen… dann bliebe der Sicherheitsvorteil weitgehend erhalten, und man läuft nicht Gefahr, beim nächsten Systemupdate die “störende” kext zu vergessen und einen Bootabbruch heraufzubeschwören…
Nee, muss ja leider dauerlaufen. Geht ja um die Zellenbelegungen und “zu löschende Blöcke”-Problematik.
Aber mit der Bootverweigerung sprichst du natürlich auch noch ein heikles Problem an…
Und Deus: Hast schon mal TE und Yosemite eingeworfen?
Ich hab das hier mal eingespielt - tut bisher. Man möchte fast behaupten, dass es noch smoother geht, als ohne TE. Kann ich aber nicht mit Zahlen belegen.
Nee, hab ich mich noch nicht getraut. Vielleicht soltest du dir für den Notfall die Notfallanleitung ausdrucken. Wenn es soweit ist und man hat kein Internet, dann sieht es schlecht aus mit der Informationsbeschaffung.
Das es besser läuft ist das was ich erwarte, dafür ist der TRIM-Enabler ja da.
Ja, ich sollte das ausdrucken - aber erfahrungsgemäß habe ich es schneller aus dem Web gesaugt als auf Papier hergekramt. Ich hab ja hier dank dem Air einen zweiten Rechner zum danebenstellen. Auch wenn das MbP 13", über das wir hier reden die Produktive Maschine ist. Es wird schon klappen. Blöd ist halt, dass man vorher immer mal schneller PRAM-Reset machen konnte und nix ist passiert…
Aber heutzutage ohne SSD ist für mich unter OS X einfach zu lahm. Ich habe da keine Geduld - das geb ich zu.
Also, schön ist ja das der TE das kext-Signing nach Nachfrage selbst deaktiviert. Ich hatte das schon am Terminal vorher gemacht. Er fragt auch, ob er das kext-signing wieder einschalten soll, wenn man den TE wieder deaktiviert. Haben sie schön gemacht.
Es gibt jetzt keine explosionsartige Temposteigerung bei mir, aber eventuell wirkt sich das erst aus, wenn die Daten wieder nach den TRIM-Algorithmus verteilt/gelöscht worden sind. Bin am überlegen, ob ich ein Backup mache, die Festplatte glatt mache und alles zurückspiele…
Ei, und es gibt das Gerücht, das Cindori an einer Yosemite-Software für eine Macverwaltung arbeitet. Darin soll dann auch eine TRIM-Funktion enthalten sein (so ich den Bing-Translator richtig verstanden habe…) Parlez-vous français?
edit und ei, der Daus: Bildchen gemacht und anzuhängen vergessen…
Es gibt übrigens als Alternative zum TRIM Enabler noch Chameleon SSD Optimizer.
Dort kann man auch NoAtime aktivieren, wodurch von Mac OS X beim Lesen von Dateien nicht das letzte Zugriffsdatum in der Datei gesetzt wird und so die Anzahl der Schreibzugriffe bei einer SSD reduziert wird.
Ich weiß nicht, warum immer nur der TRIM Enabler in solchen Threads erwähnt wird.
Ich hab mal nachgelesen: für noAtime brauchst doch gar keine extra Tool. Da legt man eine Plist an im LaunchDaemons… und nach nem Reboot bzw. entsprechender Änderung der Rechte hat sichs mit der AccessTime…
Auch hier funktioniert TRIM nur mit kext. Leider wird auf das Problem mit Yosemite nicht explizit hingewiesen, genau so wenig wie es eine Beschreibung gibt, TRIM auf Yosemite einzusetzen. Weil sie auf die gleichen Probleme wie Cindori treffen. Aber sie kommunizieren es nicht deutllich, sondern umgehen das Thema TRIM und Yosemite in ihrer FAQ einfach. Bzw. gibt es dann eine lapidare Anleitung „try this way to force disable kext sign“, ohne Hinweise auf die Probleme die entstehen können, bzw. was das ist, das sie den User veranlassen zu tun. Das finde ich fragwürdig, darum werde ich das Tool nicht ausprobieren, geschweige denn weiterempfehlen (was ja auch wieder deine Eingangsfrage beantwortet).
Vielleicht sollten wir mal einen Wikiartikel über SSDs und deren Funktionen basteln um dan Möglichkeiten zu finden, die Behandlung der SSDs zu optimieren. noAtime hatte ich schon mal gehört, die Bedeutung dämmerte mir aber auch erst nach lesen deines links. Das werde ich mal ausprobieren.
