web-dev-qa-db-ja.com

macOS Mojaveディレクトリの権限

MacOS Mojaveは、SIP=の影響をユーザーのホームディレクトリに拡張しました。デフォルトでは、ユーザーのホームディレクトリ内の多くのディレクトリへのアクセスが拒否されます。これらのディレクトリのいくつかの例を次に示します。

~/Library/Messages
~/Library/Mail
~/Library/Safari
[… etc.]

端末からこれらのディレクトリにアクセスするには、システム環境設定>セキュリティとプライバシー>プライバシー>フルディスクアクセスで端末アプリケーションを定義する必要があります。システムの次のディレクトリを除いて、設定は機能します。同じ動作がコンテナ内の他のデータに存在する可能性があります-確かではありません。

~/Library/Containers/com.Apple.mail/Data/DataVaults

興味深い動作は簡単に再現できます。ディレクトリは表示されていません。

cd ~/Library/Containers/com.Apple.mail/Data
ls
ls: DataVaults: Operation not permitted

私はrsyncを使用して、ホームディレクトリを外部ハードドライブにミラーリングしています。しかし、rsyncが「IOエラーが発生しました-ファイルの削除をスキップします」と文句を言うので、私はもはやこれを行うことができません。この問題に関するドキュメントは見つかりません。 Appleサポートはわかりません。このディレクトリが特別なのはなぜですか、どうすればSIPを無効にすることなくアクセスできますか?

SIP Disabledによるさらなる調査の結果

システム情報によると、Mojaveのアップグレードは2018年9月24日に行われました。ディレクトリも同じ日に作成されました。私のユーザーはディレクトリを所有し、スタッフグループはグループの所有者です。その許可は0700です。 @ シンボル。 ACLはありません。フラグはありません。

xattr -l ~/Library/Containers/com.Apple.mail/Data/DataVaults

com.Apple.quarantine: 0082;00000000;Mail;
com.Apple.rootless: Mail

ls -lO DataVaults
(no result; exit 0)

SIPを無効にし、ディレクトリを削除し、SIPを再度有効にすると、メールが開かれるとすぐに、ディレクトリは同じ権限で再表示されます。メール(バージョン12.0(3445.100.39))にはプラグインがありません。

2018年10月16日の新規インストールの結果

フォーマットして再インストールした後、ディレクトリは存在しません。それがどのようにして始まったのか、私にはまだ手がかりがありません。

2019年3月29日のアップグレードの結果

ディレクトリは、Mojave 10.14.4(18E226)および/またはMailバージョン12.4(3445.104.8)へのアップグレードと同時に出現しました。

permissionsosx
10
Christopher

DataVaultsディレクトリは entitlements に関係しています。エンタイトルメントの所有者がアクセスを許可しない限り、アクセスは阻止されます。 Mail.appの資格は次のようにリストされ、XML plistを提供します。

codesign -d --entitlements - /Applications/Mail.app/

現時点で、ディレクトリへのアクセス権を取得するために残っている唯一の方法は、SIPをオフにすることです。 rsyncの問題に関して、SIPをオンにしておくことを選択し、rsysncオプションexcludeを使用してDataVaultを無視しましたちなみに、これにはコンテンツがありません。

Eclectic Light Company のブログのコメントから、より多くの手がかりを提供します:

/var/folders/t9/[long ID]/C/com.Apple.QuickLook.thumbnailcache”は、DataVaultです。これは、Appleが10.13.4頃に導入された新しいタイプのプライバシーコンテナです。これらのファイル/フォルダは、「UF_DATAVAULT」ファイルフラグによって識別されます。 SIP=(技術的にはサンドボックスではありませんが、同じ要点)を介して実装されます。アプリケーションには、特定のデータボールトを作成またはアクセスするための資格、またはDataVaultフォルダーをstat()するための資格が必要です。

これらのデバイスは、さらに調査する価値があります。 Appleはサードパーティにこれらの資格を発行しません(そして、明らかにする予定はありません)。その影響を考慮してください– Appleは、 Appleアプリケーションで作成されたデータのみが最高レベルのセキュリティを取得します。

また、SIPをオフにしないと、あなた(ユーザー)がこれらのDataVaultの内容を確認できないことも考慮してください。 Appleがこれらに保持しているものを特定することは困難ですが、それらのいくつかは少し憂慮すべきです。ここにいくつかの既知のデータ保管庫を示します:

~/Library/VoiceTrigger/SAT

~/Library/Containers/com.Apple.mail/Data/DataVaults/private/var/folders/0z/fs4vdwmx6g31n69qt5v5ff580000gn/0/com.Apple.nsurlsessiond

その最初のものは明らかに「Siri Audio Transcripts」を持っている-あなたがこれまでに口に出したすべてがSiri Macで。

~/Library/Containers/com.Apple.mail/Data/DataVaultsにフラグを見つけられなかったため、Mojaveをクリーンインストールすると、ディレクトリが再び表示されなくなりました。

アクセスコントロールの 概要の概要 も公開されました。

6
Christopher