macOS 10.15 Catalinaではrootユーザーでもアクセス権を得ることができないシステム整合性保護SIPの「rootless.conf」が一部変更。

rootless.conf macOS 10.15 Catalina
記事内に広告が含まれています。
スポンサーリンク

 macOS 10.15 Catalinaではrootユーザーでもアクセス権を得ることができないシステム整合性保護SIPの「rootless.conf」で”/Library/Apple”や”/System”が一部変更されます。詳細は以下から。

AppleのGatekeeperアイコン

 Appleは2015年にリリースしたOS X 10.11 El Capitanで、SIP : System Integrity Protection (システム整合性保護:通称Rootless)」という、rootユーザーであってもアクセス権を得ることができないシステムフォルダを指定しセキュリティを強化しましたが、本日リリースされたmacOS 10.15 Catalinaでは、このSIPの設定ファイル「rootless.conf」がアップデートされています。

SIPの対象となるディレクトリ

 macOS 10.14 MojaveとmacOS 10.15 Catalinaのrootless.confのdiffはこちらで確認できますが、macOS Catalinaではこれまで同様”/System”、”/usr”、”/bin”、”/sbin”、”/var”およびAppleのデフォルトアプリがSIP配下にあることは変わらないものの、AppleがシステムボリュームをRead-Only化した事に伴い、そのシステムボリュームに作成された”/Library/Apple”および”/System/Library/”ディレクトリがSIPの対象として大きく変更されています。

rootless.conf

$cat /System/Library/Sandbox/rootless.conf 
				/Applications/Safari.app
				/Library/Apple
...
AudioSettings			/Library/Preferences/Audio/Data
...
# template locations
*				/System/Library/Templates/Data
*				/System/Library/Templates/Data
				/System/Library/Templates/Data/Applications/Safari.app
				/System/Library/Templates/Data/Library/Apple
TCC				/System/Library/Templates/Data/Library/Application Support/com.apple.TCC
CoreAnalytics			/System/Library/Templates/Data/Library/CoreAnalytics
...
ExtensibleSSO			/private/var/db/ExtensibleSSO/Configuration
...
dyld				/private/var/db/dyld
timezone			/private/var/db/timezone
*				/private/var/folders
				/private/var/install
				/sbin
				/usr
*				/usr/libexec/cups
*				/usr/local
*				/usr/share/man
*				/usr/share/snmp
# symlinks
				/etc
				/tmp
				/var

おまけ

 多くのアプリやライブラリは既にSIPに対応し、SIP対象のディレクトリを利用しないようにしていると思われますが、macOS 10.15 Catalinaでは今回変更された「rootless.conf」の対象ディレクトリにサードパーティの設定ファイルなどがあると、強制的に共有ディレクトリに移動する機能追加されているので、心当たりのある方は注意してください。

場所が変更された項目/What Are Relocated Items?

コメント

タイトルとURLをコピーしました