macOS Mojave ディレクトリ権限

tag-icon tag-icon permissions osx
macOS Mojave ディレクトリ権限

MacOS MojaveはSIPの範囲をユーザーのホームディレクトリに拡張しました。デフォルトでは、ユーザーのホームディレクトリにある多くのディレクトリへのアクセスは拒否されます。以下は、これらのディレクトリのいくつかの例です。

~/Library/Messages
~/Library/Mail
~/Library/Safari
[… etc.]

ターミナルからこれらのディレクトリにアクセスするには、システム設定>セキュリティとプライバシー>プライバシー>フルディスクアクセスでターミナルアプリケーションを定義する必要があります。私のシステムの次のディレクトリを除いて、設定は機能します。コンテナ内の他のデータにも同じ動作が存在する可能性があります。わかりません。

~/Library/Containers/com.apple.mail/Data/DataVaults

この興味深い動作は再現しやすいです。ディレクトリも見えません。

cd ~/Library/Containers/com.apple.mail/Data
ls
ls: DataVaults: Operation not permitted

私はホームディレクトリを外部ハードドライブにミラーリングしようとしましたが、「IOエラーが発生しました。ファイルの削除をスキップしました」というメッセージが表示され、ミラーリング効果が破損しているrsyncため、これを行うことはできません。rsyncこの問題に関するドキュメントが見つかりませんでした。 Appleサポートチームではわかりません。このディレクトリが特別な理由は何で、SIPを無効にせずにどのようにアクセスできますか?

SIP 無効化に関する追加調査結果

システム情報によると、2018年9月24日にモハーベのアップグレードが行われました。ディレクトリも同じ日に作成されました。私のユーザーはディレクトリを所有し、従業員グループはグループ所有者です。権限は0700です。記号で示されているように拡張属性があります@。 ACLはありません。フラグはありません。

xattr -l ~/Library/Containers/com.apple.mail/Data/DataVaults

com.apple.quarantine: 0082;00000000;Mail;
com.apple.rootless: Mail

ls -lO DataVaults
(no result; exit 0)

SIPを無効にしてディレクトリを削除した後にSIPを再度有効にすると、メールを開くと同じ権限でディレクトリが再表示されます。メール(バージョン12.0(3445.100.39))にはプラグインはありません。

2018年10月16日新設した結果

フォーマットして再インストールした後、このディレクトリは存在しません。私はそれがどのように始まったのかまだわかりません。

2019年3月29日アップグレード結果

このディレクトリは、Mojave 10.14.4(18E226)および/またはメールバージョン12.4(3445.104.8)にアップグレードすると再表示されます。

ベストアンサー1

DataVaults カタログと。権利所有者がアクセス権を付与しない場合、アクセスはブロックされます。 Mail.appの資格は以下にリストされ、XML plistを提供します。

codesign -d --entitlements - /Applications/Mail.app/

この時点でディレクトリにアクセスする唯一の方法は、SIPをオフにすることです。私のrsync問題に関して、私はSIPを開いたままにして、コンテンツのないDataVaultsディレクトリを無視するrsysncオプションを使用することにしました。exclude

ブログでコメント折衷主義照明会社、より多くの手がかりを提供します。

/var/folders/t9/[long ID]/C/com.apple.QuickLook.thumbnailcache”DataVaultは、Appleが10.13.4頃に導入した新しいプライバシーコンテナです。これらのファイル/フォルダは「UF_DATAVAULT」ファイルフラグによって識別されます。これはSIPを介して実装されています(技術的にはサンドボックスではありませんが、ポイントは同じです)。アプリケーションには、特定のデータウェアハウスまたはDataVaultフォルダーをstat()作成またはアクセスする権限が必要です。

そのような装置はより深い研究を必要とする。 Appleはこれらの権利を第三者に開示しません(そして明らかにそうする予定はありません)。これが何を意味するのか考えてみてください。 Appleは、Appleアプリ内で生成されたデータのみが最高レベルのセキュリティを維持するプラットフォームを作成しています。

また、SIPをオフにしないと、ユーザー(ユーザー)はこれらのDataVaultの内容を表示できません。 Appleがここに何を入れているのかを言うのは難しいですが、そのうちのいくつかは少し不安です。既知のデータストアは次のとおりです。

~/Library/VoiceTrigger/SAT

~/Library/Containers/com.apple.mail/Data/DataVaults /private/var/folders/0z/fs4vdwmx6g31n69qt5v5ff580000gn/0/com.apple.nsurlsessiond

最初の項目には明らかに「Siriオーディオ録音」があります。 MacでSiriに言ったことはすべてです。

私はそこにフラグを見つけることができず、~/Library/Containers/com.apple.mail/Data/DataVaultsMojaveを新しくインストールすると、それ以降はディレクトリが表示されなくなります。

概要の概要アクセス制御も実施されます。

おすすめ記事