怎么才能永久禁用Mac OS的更新？

这个问题挺好。刚开始思路挺多的，比如通过修改hosts文件来阻止Mac App Store的常用网址（参见：OS X: Server addresses used by Software Update - Apple Support）；比如尝试使用系统描述文件来禁止；比如使用家长控制等等。但是都无法完全达到你的这个“简单明了”的需求。虽然是管理员可以设置禁止Mac OS自动更新、自动检查、自动下载等等，但概是因为Apple不想让用户完全禁止Mac OS的更新检查，依然无法禁止启动App Store来检查Mac OS的更新、升级和下载等操作。

禁用App Store

所以不得已，只能禁用App Store应用一条路了，不过即便是如此，依然不是一蹴而就那么简单，至少需要下面的一些步骤：

除了自己是管理员帐户，其它用户必须是普通帐户，参考：macOS Sierra: 在 Mac 上设置用户、客人和群组；如果已存在用户已经是管理员，需要解除它的管理员权限。开启固件密码（参考：如何在 Mac 上设置固件密码 - Apple 支持）。千万不要忘记固件密码，否则自讨麻烦恢复启动（参考：关于 macOS 恢复功能 - Apple 支持），然后在终端中输入命令，来禁止SIP（网上有好多参考）

csrutil disable

正常启动Mac后，在终端中输入命令:

sudo chmod 000 /Applications/App\ Store.app

再次恢复启动后，在终端中输入命令来开启SIP：

csrutil enable

正常启动，打开文件保险箱（FileVault），参考：使用文件保险箱加密 Mac 上的启动磁盘 - Apple 支持。这一步可选，但是最好启用。在App Store系统偏好中关闭自动更新（官方文档Mac App Store：自动安全性更新 - Apple 支持）

通过上面的步骤，基本上可以阻止普通用户使用App Store了。

注：虽然说在第4步中可以删除App Store.app，但是不推荐，毕竟除了系统更新之外，你依然需要使用App Store对其它程序进行不定时更新（虽然没有App Store.app依然可以使用命令行可以更新）

恢复使用App Store应用

下面是如何恢复使用App Store的方法，简单说就是设置正确文件权限，主要是上面的第3/4/5三个步骤的类似操作：

恢复启动（参考：关于 macOS 恢复功能 - Apple 支持），然后在终端中输入命令，来禁止SIP（网上有好多参考）

csrutil disable

正常启动Mac后，在终端中输入命令:

sudo chmod 755 /Applications/App\ Store.app

再次恢复启动后，在终端中输入命令：

csrutil enable