OCLP 是一个允许老旧Mac允许不被支持的系统解决方案，目前，如果你的机器CPU不支持 AVX/AVX2指令集，在更新到 Sequioa 后一些App会崩溃，报错。Namespace SIGNAL, Code 4 Illegal instruction: 4，这是因为 JetEngine.JSStack.scheduler 需要 AVX/AVX2 支持，否则就会报错。

目前越来越多的App会调用 JIT，甚至JavaScriptCore也会调用，这就导致相当多的App无法启动或正常加载，包括 Safari，Music，App Store等，目前的的解决办法是：

1. 在OCLP 中注入 no AVX/AVX2 kext, 具体名称为
   NoAVXFSCompressionTypeZlib.kext
   NoAVXFSCompressionTypeZlib-AVXpel.kext
2. 重启机器后在命令行输入一下命令：
   launchctl setenv JSC_useJIT true; launchctl setenv __XPC_JSC_useJIT true
3. 再次开启会崩溃的App，问题解决。

这个方法仅限目前有效，以后再更新到新的系统，可能会无法禁用 JIT 调用，方法会失效。

这个方法同样适用于老旧 CPU 架构的 X86 用户，通常2012年之前的CPU都不支持AVX/AVX2，具体可以用 MacCPUID 查看。

随着苹果越来越严格的系统文件权限限制，在 Sequoia 下想要修改 /System 下的文件变得越来越难，现在几乎已经不可能在系统中直接修改。本文将介绍如何在 Recovery 恢复模式下修改系统文件价。

注意：修改系统文件可能会引起系统严重错误，导致系统无法开机、数据顺坏或被木马病毒破坏，在操作之前请清楚的知道你在做什么，否则请停止。

另外，有些地方提到可以在 /etc/synctheri.conf 添加映射来修改系统文件，其实这个是不准确的，synctheri.conf 只能映射目录到 / 根文件夹，是不能修改 /System 下的文件的。

教程开始：

1. 重启系统，启动系统到 Recovery 模式
2. 关闭SIP
   在Recovery 模式下打开终端，输入以下命令
   csrutil disable
   OpenCore 用户NVRM 里添新增 7C436110-AB2A-4BBB-A880-FE41995C9F82，然后添加键值 csr-active-config, 类型 Data, 值 67000000
3. 重启系统，再次进入Recovery Mode
4. 验证 SIP 是否关闭，打开终端输入命令
   csrutil status
   确认所有SIP保护项均已关闭
5. 挂载要修改的系统根目录为可读写，终端输入命令：
   mount -uw /Volumes/Macintosh\ HD # 确认你的系统卷名称
cd /Volumes/Macintosh\ HD
6. 编辑、修改要改动的系统文件，这里以替换一个Framework文件为例，输入复制命令
   # 备份原始文件（可选)
cp -R System/Library/PrivateFrameworks/TargetFramework ./TargetFramework.backup
# 替换文件
cp -R /path/to/your/Framework System/Library/PrivateFrameworks/
7. 重建系统快照（关键，没有这一步重启后修改就没了，但是如果你的文件有问题，你的系统可能就会崩溃）
   bless --folder /Volumes/Macintosh\ HD/System/Library/CoreServices --bootefi --create-snapshot
8. 重启系统，进入系统验证文件是否添加成功。
9. 验证文件添加成功后，一定一定要记得回到 Recovery 模式关闭SIP，以确保系统安全。
   csrutil enable
10. 重启，进入正常系统，修改结束。

Netatalk是开源的AFP和AppleTalk文件共享服务器软件，可以在Unix和类Unix系统中运行。OpenWrt路由器甚至都可以部署Netatalk。

Netatalk有v2和v3两个大版本，对AFP支持的协议也不同。v2支持AppleTalk（包括时间服务器和打印服务器），AFP协议从1.1版支持到3.3版，可以支持Apple II、Mac System 6到Mac OS 9，也支持Mac OS X。 v3 不支持AppleTalk，但支持AFP 3.4协议，支持Spotlight索引，客户端至少需要System 7.5。Netatalk如果在Mac OS X中运行，那将不支持AppleTalk网络的搭建。

因此要搭建AppleTalk网络，还需要选择Netatalk v2版本，主要用于文件和打印机共享。服务器硬件是OrangePi 4，RK3399开发板，运行Armbian（Jammy Jellyfish版）。Netatalk v2版本选用2.3.1版本，非git版本。 Debian和Ubuntu源里的Netatalk已经是v3版本了，因此需要手动编译安装v2版本。编译安装教程可以参考Netatalk wiki：

Installing Netatalk 2 on Debian​netatalk.io/docs/Installing-Netatalk-2-on-Debian

安装

这里简要说一下步骤：

先安装编译工具和基本依赖：

sudo apt install build-essential libssl-dev libdb-dev autotools-dev automake libtool libtool-bin pkg-config libcups2-dev cups libavahi-client-dev libgcrypt20-dev tcpd libcrack2-dev libacl1-dev libldap2-dev quota libtirpc-dev

下载v2.3.1版本，解压

tar xf netatalk-2.3.1.tar.xz
cd netatalk-2.3.1

编译，安装需要root权限

./configure --enable-systemd --sysconfdir=/etc --with-uams-path=/usr/lib/netatalk
make
sudo make install

Read more

原文出处：https://discussions.apple.com/thread/5483728?start=0&tstart=0

问题情况：

Open Directory 密码服务报错：

DoAuth: {0xd666eb1e840a11e78d78320019de5b40, %username%} SMB-NTLMv2 authentication failed, SASL error -13 (password incorrect).

解决办法：

On command line….

1. Enter “gpedit.msc” in the Start Search box.
2. Open “Computer Configuration”/Windows Settings/Security Settings/Local Policies/Security Settings.
3. In the right pane, enable the following policies:

Network access: Allow anonymous SID/name translation
Network access: Let Everyone permissions apply to anonymous users

Also please disable the following policies.

Network access: Restrict anonymous access to Named Pipes and Shares
Network access: Do not allow anonymous enumeration of SAM accounts
Network access: Do not allow anonymous enumeration of SAM accounts and shares

Change the following policy:

Network security: LAN Manager authentication level

Change the value to “Send LM & NTLM – use NTLMv2 session security if negotiated”.

P.S: 如果不行就设置为“仅发送 NTLMv2 响应”。这样的话可能导致 Windows 不能访问其他 Windows 电脑的共享。
Read more

OS X 上没有iptables，在10.10以后以pf取代ipfw。相比于iptables，pf一般使用配置文件保存防火墙规则，语法规范上更严谨，但是配置也更复杂、规则冗长。本文记录pf的简单配置方法。

cat /etc/pf.conf，可看到以下已有内容：（忽略注释部分）

scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
rdr-anchor "com.apple/*"
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"

anchor可理解为一组规则的集合。默认情况下，这里的几行anchor都是苹果留的place holder，实际上没有active的规则。
/etc/pf.conf在以后的OSX更新中可能会被覆盖，最好可以另外建立一个自定义的pf.conf。
配置文件必须按照Macros, Tables, Options, Traffic Normalization, Queueing, Translation, Packet Filtering的顺序。
更详细的说明参考pf.conf man page
添加一个anchor。修改/etc/pf.conf如下：

scrub-anchor "com.apple/*"
nat-anchor "com.apple/*"
nat-anchor "custom"
rdr-anchor "com.apple/*"
rdr-anchor "custom"
dummynet-anchor "com.apple/*"
anchor "com.apple/*"
anchor "custom"
load anchor "com.apple" from "/etc/pf.anchors/com.apple"
load anchor "custom" from "/etc/pf.anchors/custom"

建立anchor规则文件/etc/pf.anchors/custom，内容为具体规则。
常用的规则：

屏蔽IP入站TCP连接并记录：

block in log proto tcp from 192.168.1.136 to any

转发入站TCP连接到另一本地端口：

rdr inet proto tcp from any to any port 8081 -> 127.0.0.1 port 80

经测试，rdr无法转发到另一台外部主机上（man page的示例，只可以转发到internal network），内核开启net.inet.ip.forwarding=1也无效。如需转发到另一个外网IP，需要配合mitmproxy的透明代理

NAT，路由vlan12接口上(192.168.168.0/24)的出口包，经由非vlan12的接口转换到外部地址(204.92.77.111)，并允许vlan12之间的互相访问:

nat on ! vlan12 from 192.168.168.0/24 to any -> 204.92.77.111

使配置文件生效

pfctl -evf /etc/pf.conf

原文地址：https://blog.chionlab.moe/2016/02/01/use-pf-on-osx/

借助 OS X Mavericks 和 OS X Yosemite，您可以创建可引导的 OS X 安装器，该安装器可用于在从可移动介质（如 USB 闪存驱动器）启动时安装操作系统。

您需要先执行以下操作，然后才能创建可引导的 OS X 安装器：
从 Mac App Store 下载 OS X 安装器 app。
装载您要转换为可引导安装器的宗卷。这个宗卷可以是可移动介质（如 USB 闪存驱动器），或内部备用分区。
然后，您可以使用 createinstallmedia 工具，基于第一步中的安装器 app，将第二步中的宗卷转换为可引导的安装器。要了解如何使用 createinstallmedia，请在终端中执行以下命令：

OS X Yosemite

/Applications/Install\ OS\ X\ Yosemite.app/Contents/Resources/createinstallmedia

OS X Mavericks

/Applications/Install\ OS\ X\ Mavericks.app/Contents/Resources/createinstallmedia

示例
例如，假设您将某个宗卷装载到“/Volumes/MyVolume”，并且 OS X 安装器 app 位于“/Applications/Install\ OS\ X\ Mavericks.app”中，则可以抹掉“/Volumes/MyVolume”，并使用以下命令将其转换为可引导的安装器：
OS X El Capitan

sudo /Applications/Install\ OS\ X\ El\ Capitan.app/Contents/Resources/createinstallmedia --volume /Volumes/MyVolume --applicationpath /Applications/Install\ OS\ X\ El\ Capitan.app

OS X Yosemite

sudo /Applications/Install\ OS\ X\ Yosemite.app/Contents/Resources/createinstallmedia --volume /Volumes/MyVolume --applicationpath /Applications/Install\ OS\ X\ Yosemite.app

OS X Mavericks

sudo /Applications/Install\ OS\ X\ Mavericks.app/Contents/Resources/createinstallmedia --volume /Volumes/MyVolume --applicationpath /Applications/Install\ OS\ X\ Mavericks.app

备注

您可能需要在命令中调整 OS X 安装器 app 的路径和/或可移动介质设备的名称。
createinstallmedia 是适用于系统管理员的高级选项，因此，需要一些命令行知识才能正确使用。其目的是仅与其附随的 OS X 安装器 app 版本配合使用。

文字在摘抄至 Apple 官方网站 HT201372 技术支持。

Mac 电脑在首次运行的时候会出现一个设置向导，俗称解包，也叫激活，但是在运行之后就不会再次出现，如果你想不重装系统再次运行，只需一下操作即可。
首先，以单用户模式启动机器
fsck -fy （验证磁盘，可省略）
mount –uw /
rm /var/db/.AppleSetupDone
reboot
重启后会再次出现设置助手

Posted using Tinydesk blogging app

不知道老网名是否还记得淘宝开始勉强支持 Mac 是什么时候？现如今，我们看到，阿里公司正在不断的关注 Mac 平台及 Mac 平台用户，先是淘宝，然后是支付宝，然后是支付宝快捷支付平台（免网银），之后是旺旺，现在，支付宝数字证书已完全支持 Mac 平台，亲们，你们现在还有什么理由继续使用 Windows 呢？

几乎每个人都拥有 USB 移动存储设备，这些设备如果遗失，后果不堪设想，现在，在 Mountain Lion 中，你可以方便的给你的 USB 移动存储磁盘加密了。只需要在移动磁盘的图标上点按鼠标辅键，然后选择 加密“你的磁盘名” 就可以了，是不是很简单呢？这样，就在也不用担心 U 盘丢了之后什么时候会火的问题了。

 

 

注：在 Lion 以及之前的 OS X 中，加密磁盘需要打开磁盘工具，重新抹掉数据格式才可以对磁盘加密。

前言： 先废话一段，iChat支持多种帐号和协议登陆，比如@mac、@me、AIM、Yahoo、Google Talk、Jabber等，那么，我个人比较推荐使用AIM/G-Talk帐号。

为什么我不用Yahoo、MSN等帐号呢，原因如下，这部分我转自风驰电掣的博客：

1. 这两个系统都是一个封闭系统

2. 安全性问题，君不见 msn 在网络资安上出现多少问题

3. 这两家业者作法有点贱，为何如此说呢，大家可能有个概念，在网络上要使用某种服务(如 msn、yahoo im、smtp.. )等，一定是透过主机某个 port 来实现的，但 msn 及 yahoo 虽然有内定的 port，但其心可议的是，如果这个 port 被挡掉的话，那么 msn 及 yahoo im，会利用 port 80 来替代，而这个 port 80 是什么用呢？就是拿来浏览网页用的，这也可说是这两家业者心态可议，吃定了大家。

怎么说呢？由于 msn 及 yahoo im 资安纪录不佳，假设为了安全问题，在公司或企业内部要将这两项挡掉，是很难做到的，除非也将 http:// (即 web 浏览网页功能)关掉，才可达到功效，我想这个不便之处 msn 及 yahoo 绝对理解，但为何要如此做呢？是不是很贝戈戈呢..

似乎意谓者，不是我 msn 及 yahoo im 不让你们这些员工上网啰，是你们的网管做的，这种将自己的不是推到网管人员身上的做法，真的很恶质。

为了资安问题，而不得不 ban 掉 yahoo im 及 msn 而导致公司内部人员无法上网冲浪，当公司内部人员责难 mis 人员时，是否有人会想到始作俑者是这两家业者呢？

另外使用 msn 及 yahoo im 造成资安问题，这两家业者是否会负起责任来呢？

所以我很有志气的赌一口气，坚持不用 msn 及 yahoo im。

那么用什么 im 软件呢，不是替AIM/G-Talk 打广告，因为AIM/G-Talk 是使用 Jabber XMPP 协议，这是一种安全、开放的协议，而且我在许多朋友都使用 G-Mail 后，自然地这些朋友也有了 G-Talk 的账号，在网络上聊成天来也没什么问题了..

这里有朋友要问了，为什么不说说QQ呢？呃，好吧，这个问题，我不想在这里讨论，相信很多人懂的。

那么，又有朋友要说了，可是我没有Google ID呀，今天的教程我就跟大家一起来学习如何注册AIM帐号并使用iChat聊天。

0、注册前的准备：首先你要有一个可以正常收发邮件的E-Mail（@me邮箱不可以），还有，你的电脑可以上网。

打开你的浏览器，输入网址 http://www.aim.com/ （国内某些地区被墙，请自行VPN）

Read more