quyền của thư mục MoOS Mojave

10

MacOS Mojave đã mở rộng các hiệu ứng của SIP vào các thư mục nhà của người dùng. Theo mặc định, quyền truy cập bị từ chối vào nhiều thư mục trong thư mục nhà của người dùng. Một vài ví dụ về các thư mục này theo sau.

~/Library/Messages
~/Library/Mail
~/Library/Safari
[… etc.]

Để truy cập các thư mục này từ một thiết bị đầu cuối, ứng dụng thiết bị đầu cuối phải được xác định trong Tùy chọn hệ thống> Bảo mật & quyền riêng tư> Quyền riêng tư> Truy cập toàn bộ đĩa. Cấu hình hoạt động, ngoại trừ thư mục sau trên hệ thống của tôi. Hành vi tương tự có thể tồn tại đối với các dữ liệu khác trong các thùng chứa - không chắc chắn.

~/Library/Containers/com.apple.mail/Data/DataVaults

Các hành vi hấp dẫn là dễ dàng để tái sản xuất. Thư mục thậm chí không nhìn thấy được.

cd ~/Library/Containers/com.apple.mail/Data
ls
ls: DataVaults: Operation not permitted

Tôi sử dụng rsyncđể phản chiếu thư mục nhà của tôi vào một ổ cứng ngoài; nhưng, tôi không còn có thể làm như vậy vì rsyncphàn nàn, "gặp phải lỗi IO - bỏ qua việc xóa tệp", phá vỡ hiệu ứng phản chiếu. Tôi không tìm thấy bất kỳ tài liệu về vấn đề này. Hỗ trợ của Apple không có ý tưởng. Tại sao thư mục này đặc biệt và làm thế nào chúng ta có thể truy cập vào nó mà không vô hiệu hóa SIP?

Kết quả điều tra thêm với SIP bị vô hiệu hóa

Theo System Information, việc nâng cấp Mojave được thực hiện vào ngày 24 tháng 9 năm 2018. Thư mục cũng được tạo ra cùng ngày. Người dùng của tôi sở hữu thư mục và nhóm nhân viên là chủ sở hữu nhóm. Quyền của nó là 0700. Nó có các thuộc tính mở rộng như được biểu thị bằng @ký hiệu. Không có ACL. Không có cờ.

xattr -l ~/Library/Containers/com.apple.mail/Data/DataVaults

com.apple.quarantine: 0082;00000000;Mail;
com.apple.rootless: Mail

ls -lO DataVaults
(no result; exit 0)

Sau khi tắt SIP, xóa thư mục và kích hoạt lại SIP, thư mục sẽ xuất hiện lại với cùng quyền ngay khi Mail được mở. Thư (Phiên bản 12.0 (3445.100.39)) không có plugin.

Kết quả từ bản cài đặt mới vào ngày 16 tháng 10 năm 2018

Thư mục không tồn tại sau khi định dạng và cài đặt lại. Tôi vẫn không biết làm thế nào nó bắt đầu ở đó.

Kết quả từ bản nâng cấp vào ngày 29 tháng 3 năm 2019

Thư mục đã xuất hiện trở lại trùng với việc nâng cấp lên Mojave 10.14.4 (18E226) và / hoặc Mail Phiên bản 12.4 (3445.104.8).

permissions  osx 
Christopher
nguồn
Thư mục được bảo vệ bởi cờ tệp, ACL hoặc thuộc tính mở rộng. Tôi đã nhận thấy rằng nhiều tệp và thư mục có được com.apple.quarantinethuộc tính sau khi nâng cấp lên Mojave chẳng hạn. Đối với các bản sao lưu của riêng tôi (sử dụng restictừ Homebrew), tôi chỉ cần bỏ qua các bit này ~/Libraryvì dường như không ai trong số chúng quan tâm đến tôi hoặc những gì tôi thường làm. Tôi có một số 24 trong số này bản thân mình.
Kusalananda
Xin lỗi, tôi đã đọc lại câu hỏi của bạn và thực sự, sau khi thêm iTerm2 (trong trường hợp của tôi) vào các ứng dụng có "Truy cập đĩa đầy đủ", bản sao lưu hiện chạy mà không gặp vấn đề gì (cảm ơn vì điều đó!). Tôi không thể nói thêm về trường hợp của bạn. Trên máy tính của tôi, tôi có thể thấy rằng thư mục cụ thể và nó có chứa liên kết tượng trưng cho một số các thư mục trong thư mục chính của tôi (là "mặc định" những người thích Documents, Movies, Musicvv).
Kusalananda
Không thể nói nhiều hơn. Tôi không có thư mục / symlink đó. Bạn đã nâng cấp hoặc cài đặt lại? "DataVaults" có rung chuông liên quan đến bất kỳ ứng dụng hoặc tính năng nào bạn đã sử dụng trước đây không?
Kusalananda

Câu trả lời:

6

Thư mục DataVaults phải thực hiện với các quyền . Quyền truy cập bị ngăn chặn trừ khi chủ sở hữu quyền được cấp quyền truy cập. Các quyền lợi cho Mail.app có thể được liệt kê như sau và cung cấp một nguyên tắc XML.

codesign -d --entitlements - /Applications/Mail.app/

Tại thời điểm này, phương pháp duy nhất còn lại để có quyền truy cập vào thư mục là tắt SIP. Liên quan đến rsyncvấn đề của tôi , tôi đã chọn bật SIP và sử dụng rsysnctùy chọn này exclude, để bỏ qua thư mục DataVaults, trong khi đó, không có nội dung.

Từ một bình luận blog tại Công ty ánh sáng Eclectic , cung cấp thêm manh mối:

/var/folders/t9/[long ID]/C/com.apple.QuickLook.thumbnailcache”là một DataVault, đây là một loại thùng chứa riêng tư mới mà Apple giới thiệu vào khoảng 10.13.4. Các tệp / thư mục này được xác định bởi cờ tệp tệp UF_DATAVAULT. Chúng được thực hiện thông qua SIP (không phải là kỹ thuật sandbox, nhưng cùng một ý chính). Các ứng dụng cần có quyền để tạo hoặc truy cập vào kho dữ liệu cụ thể hoặc thậm chí để stat () thư mục DataVault.

Những thiết bị này có giá trị một số điều tra sâu hơn. Apple không (và dường như không có kế hoạch) phát hành các quyền này cho bên thứ ba. Hãy xem xét ý nghĩa của điều đó - Apple đang tạo ra một nền tảng trong đó chỉ có dữ liệu được tạo trong các ứng dụng của Apple có mức bảo mật cao nhất.

Ngoài ra, hãy xem xét rằng bạn (người dùng) không thể thấy những gì trong các DataVaults này mà không tắt SIP. Thật khó để nói những gì Apple đang giữ trong đó, nhưng một số trong số đó là một chút đáng báo động. Đây chỉ là một vài kho dữ liệu được biết đến:

~/Library/VoiceTrigger/SAT

~/Library/Containers/com.apple.mail/Data/DataVaults /private/var/folders/0z/fs4vdwmx6g31n69qt5v5ff580000gn/0/com.apple.nsurlsessiond

Cái đầu tiên đó rõ ràng có phiên bản âm thanh của Sir Siri - tất cả mọi thứ bạn đã nói với Siri trên máy Mac của bạn.

Tôi không tìm thấy cờ trên ~/Library/Containers/com.apple.mail/Data/DataVaultsvà cài đặt Mojave sạch sẽ khiến thư mục không xuất hiện lại kể từ đó.

Một cái nhìn tổng quan tóm tắt các điều khiển truy cập cũng được xuất bản.

Christopher
nguồn
Bạn cũng có thể xem xét tùy chọn rsync - lỗi thay thế.
dave
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.