Дозволи дозволу macOS Mojave

10

MacOS Mojave поширив ефекти SIP на домашні каталоги користувачів. За замовчуванням у багатьох довідниках у домашній каталог користувача заборонено доступ. Випливає кілька прикладів цих каталогів.

~/Library/Messages
~/Library/Mail
~/Library/Safari
[… etc.]

Щоб отримати доступ до цих каталогів з терміналу, додаток для терміналу має бути визначено в розділі Системні налаштування> Безпека та конфіденційність> Конфіденційність> Повний доступ до диска. Конфігурація працює, за винятком наступного каталогу в моїй системі. Така ж поведінка може існувати і для інших даних у контейнерах - не впевнено.

~/Library/Containers/com.apple.mail/Data/DataVaults

Інтригуючу поведінку легко відтворити. Каталог навіть не видно.

cd ~/Library/Containers/com.apple.mail/Data
ls
ls: DataVaults: Operation not permitted

Я використовую rsyncдля дзеркального відображення домашнього каталогу на зовнішній жорсткий диск; але я більше не можу цього зробити, тому що rsyncскаржиться на "помилку вводу- виводу - пропуск видалення файлу", що порушує ефект дзеркального відображення. Я не знаходжу жодної документації з цього питання. Підтримка Apple поняття не має. Чому цей каталог особливий, і як ми можемо отримати доступ до нього, не вимикаючи SIP?

Результати подальшого дослідження з інвалідами SIP

Згідно з інформацією про систему, оновлення Mojave було здійснено 24 вересня 2018 року. Каталог також був створений того ж дня. Мій користувач володіє каталогом, а група персоналу - власником групи. Її дозволи - 0700. Він має розширені атрибути, як зазначено @символом. Ні ACL. Ніяких прапорів

xattr -l ~/Library/Containers/com.apple.mail/Data/DataVaults

com.apple.quarantine: 0082;00000000;Mail;
com.apple.rootless: Mail

ls -lO DataVaults
(no result; exit 0)

Після відключення SIP, видалення каталогу та повторного ввімкнення SIP каталог знову з’являється з тими ж дозволами, як тільки відкриється пошта. У пошті (версія 12.0 (3445.100.39)) немає плагінів.

Результати свіжої установки 16 жовтня 2018 року

Каталог не існує після форматування та перевстановлення. Я досі не маю поняття, як це колись там починалося.

Результати оновлення 29 березня 2019 року

Каталог знову з’явився збігом з оновленням до Mojave 10.14.4 (18E226) та / або поштової версії 12.4 (3445.104.8).

permissions  osx 
Крістофер
джерело
Каталог захищений або прапором файлу, ACL або розширеним атрибутом. Я помітив, що багато файлів і каталогів придбали com.apple.quarantineатрибут після оновлення до Mojave, наприклад. Для моїх власних резервних копій (використовуючи resticз Homebrew) я просто ігнорую ці шматочки, ~/Libraryоскільки жоден з них, здається, не стосується мене або того, що я зазвичай все одно роблю. У мене є якихось 24 таких.
Kusalananda
Вибачте, я перечитав ваше запитання і, дійсно, після додавання iTerm2 (у моєму випадку) до програм із "Повноцінним доступом до диска", тепер резервна копія працює без проблем (за це!!). Я не можу сказати більше про вашу справу. На моїй машині, я можу бачити , що конкретний каталог і містить символічні посилання на деякі з цих каталогів в моєму домашньому каталозі (ті , « по умовчанням» , як Documents, Movies, і Musicт.д.).
Kusalananda
Не можу сказати більше. У мене немає цього каталогу / symlink. Ви оновили чи перевстановили? Чи дзвонить "DataVaults" дзвінок стосовно будь-якої програми чи функції, яку ви раніше використовували?
Kusalananda

Відповіді:

6

Каталог DataVaults пов'язаний з правами . Доступ заборонений, якщо власник права не надає доступ. Права для Mail.app можуть бути перелічені нижче та містять список XML.

codesign -d --entitlements - /Applications/Mail.app/

Наразі єдиним способом отримати доступ до каталогу є виключення SIP. Що стосується моєї rsyncпроблеми, я вирішив увімкнути SIP і скористався rsysncможливістю, excludeігнорувати каталог DataVaults, який, до речі, позбавлений вмісту.

З коментаря блог компанії Eclectic Light Company , що пропонує більше підказок:

/var/folders/t9/[long ID]/C/com.apple.QuickLook.thumbnailcache”це DataVault, який є новим типом контейнера конфіденційності, який Apple представила десь близько 10.13.4. Ці файли / папки ідентифікуються прапором файлу "UF_DATAVAULT". Вони реалізовані за допомогою SIP (не технічно пісочниці, але тієї ж суті). Програми потребують права зробити або отримати доступ до певних сховищ даних або навіть до stat () папки DataVault.

Ці пристрої варті глибшого дослідження. Apple не (і, мабуть, не планує) видавати ці права третім сторонам. Розглянемо наслідки цього - Apple створює платформу, де лише дані, створені в додатках Apple, отримують найвищий рівень безпеки.

Також врахуйте, що ви (користувач) не можете бачити, що знаходиться в цих DataVaults, не вимикаючи SIP. Важко сказати, що Apple утримує у них, але деякі з них трохи насторожують. Ось лише кілька відомих сховищ даних:

~/Library/VoiceTrigger/SAT

~/Library/Containers/com.apple.mail/Data/DataVaults /private/var/folders/0z/fs4vdwmx6g31n69qt5v5ff580000gn/0/com.apple.nsurlsessiond

Перший, мабуть, має "Siri Audio Transcripts" - все, що ви коли-небудь вимовляли до Siri на своєму Mac.

Я не знайшов прапор ~/Library/Containers/com.apple.mail/Data/DataVaults, і чиста установка Mojave призвела до того, що каталог не з’являється знову.

Було також опубліковано стислий огляд контролю доступу.

Крістофер
джерело
Ви також можете розглянути параметр rsync --ignore-помилки.
Дейв
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.