macOS Mojaveディレクトリの権限

10

MacOS Mojaveは、SIPの効果をユーザーのホームディレクトリに拡張しました。デフォルトでは、ユーザーのホームディレクトリ内の多くのディレクトリへのアクセスは拒否されます。これらのディレクトリのいくつかの例を以下に示します。

~/Library/Messages
~/Library/Mail
~/Library/Safari
[… etc.]

ターミナルからこれらのディレクトリにアクセスするには、システムアプリケーション>セキュリティとプライバシー>プライバシー>フルディスクアクセスでターミナルアプリケーションを定義する必要があります。システムの次のディレクトリを除いて、設定は機能します。同じ動作がコンテナ内の他のデータに存在する可能性があります-確かではありません。

~/Library/Containers/com.apple.mail/Data/DataVaults

興味深い動作は簡単に再現できます。ディレクトリも表示されません。

cd ~/Library/Containers/com.apple.mail/Data
ls
ls: DataVaults: Operation not permitted

私はrsync自分のホームディレクトリを外部ハードドライブにミラーリングするために使用しています。しかし、rsync「IOエラーが発生しました-ファイルの削除をスキップします。この問題に関するドキュメントは見つかりません。Appleのサポートはまったくわかりません。このディレクトリが特別なのはなぜですか。SIPを無効にせずにディレクトリにアクセスするにはどうすればよいですか。

SIPを無効にした場合の詳細調査の結果

システム情報によると、Mojaveのアップグレードは2018年9月24日に行われました。ディレクトリも同じ日に作成されました。私のユーザーはディレクトリを所有し、スタッフグループはグループの所有者です。権限は0700 @です。記号で示されているように、拡張属性があります。ACLはありません。フラグはありません。

xattr -l ~/Library/Containers/com.apple.mail/Data/DataVaults

com.apple.quarantine: 0082;00000000;Mail;
com.apple.rootless: Mail

ls -lO DataVaults
(no result; exit 0)

SIPを無効にし、ディレクトリを削除し、SIPを再度有効にすると、メールが開かれるとすぐに、ディレクトリは同じ権限で再表示されます。メール(バージョン12.0(3445.100.39))にはプラグインがありません。

2018年10月16日の新規インストールの結果

フォーマットして再インストールした後、ディレクトリは存在しません。それがどのようにして始まったのか、私にはまだ手がかりがありません。

2019年3月29日のアップグレードの結果

ディレクトリは、Mojave 10.14.4(18E226)および/またはMailバージョン12.4(3445.104.8)へのアップグレードと同時に再出現しました。

permissions  osx 
クリストファー
ソース
ディレクトリは、ファイルフラグ、ACL、または拡張属性のいずれかによって保護されています。com.apple.quarantineたとえば、Mojaveにアップグレードした後、多くのファイルとディレクトリが属性を取得したことに気づきました。私自身のバックアップ(resticHomebrewからの使用)の場合、これらのビットを無視~/Libraryします。なぜなら、それらのどれも私や、とにかく私が通常行うことには関係がないようです。私はこれらの24を自分で持っています。
クサラナンダ
申し訳ありませんが、質問を読み直しました。実際、iTerm2(私の場合)を「フルディスクアクセス」を備えたアプリに追加すると、バックアップが問題なく実行されます(ありがとうございます)。あなたの事件についてこれ以上言うことはできません。私のマシンでは、(「デフォルト」のものが好きな私は、その特定のディレクトリを参照してくださいすることができますし、それは私のホームディレクトリ内のディレクトリの一部へのシンボリックリンクが含まれているDocumentsMoviesMusicなど)。
クサラナンダ
これ以上は言えません。そのディレクトリ/シンボリックリンクを持っていません。アップグレードまたは再インストールしましたか?「DataVaults」は、以前に使用したアプリケーションや機能に関してベルを鳴らしますか?
クサラナンダ

回答:

6

DataVaultsディレクトリは、資格と関係があります。エンタイトルメントの所有者がアクセスを許可しない限り、アクセスは阻止されます。Mail.appの資格は次のようにリストされ、XML plistを提供します。

codesign -d --entitlements - /Applications/Mail.app/

現時点で、ディレクトリへのアクセス権を取得するための残りの方法は、SIPをオフにすることだけです。私のrsync問題に関しては、SIPをオンにしておくrsysncオプションを利用してexclude、DataVaultsディレクトリを無視することを選択しました。このディレクトリには、コンテンツがありません。

Eclectic Light Companyのブログのコメントから、より多くの手がかりを提供します:

/var/folders/t9/[long ID]/C/com.apple.QuickLook.thumbnailcache”DataVaultです。これは、Appleが10.13.4頃に導入した新しいタイプのプライバシーコンテナです。これらのファイル/フォルダーは、「UF_DATAVAULT」ファイルフラグによって識別されます。これらはSIPを介して実装されます(技術的にはサンドボックスではありませんが、要点は同じです)。アプリケーションには、特定のデータボールトを作成またはアクセスするための資格、またはDataVaultフォルダーをstat()するための資格が必要です。

これらのデバイスは、さらに調査する価値があります。Appleはこれらの資格をサードパーティに発行しない(そして明らかにする予定はない)。その影響を考慮してください– Appleは、Appleアプリケーションで作成されたデータだけが最高レベルのセキュリティを取得するプラットフォームを作成しています。

また、SIPをオフにしないと、あなた(ユーザー)がこれらのDataVaultの内容を確認できないことも考慮してください。Appleがこれらの中で何を保持しているかを知るのは難しいが、それらのいくつかは少し憂慮すべきものである。以下は、既知のデータ保管庫の一部です。

~/Library/VoiceTrigger/SAT

~/Library/Containers/com.apple.mail/Data/DataVaults /private/var/folders/0z/fs4vdwmx6g31n69qt5v5ff580000gn/0/com.apple.nsurlsessiond

最初のものには「Siri Audio Transcripts」があるようです。これは、MacでSiriに対してこれまでに発声したすべてのものです。

にフラグが見つからなかったため、~/Library/Containers/com.apple.mail/Data/DataVaultsMojaveをクリーンインストールすると、ディレクトリが再び表示されなくなりました。

概要概要アクセス制御のも出版されました。

クリストファー
ソース
rsyncオプション--ignore-errorsを検討することもできます。
dave
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.