OS X 10.11 El Capitanのシステム保護機能のためSuperDuperやCarbon Copy Clonerなどのアプリが起動ディスクのバックアップを作成できなくなる状態へ。

スポンサーリンク

 OS X 10.11 El Capitanのシステム保護機能のためSuperDuperやCarbon Copy Clonerなどのアプリが起動ディスクのバックアップを作成できなくなる状態になるそうです。詳細は以下から。


Carbon-Copy-Cloner-Hero


 Bombich Software が開発している「Carbon Copy Cloner」やShirt Pocketが開発している「SuperDuper」はMac OS 9時代から開発が続けられている起動ボリュームの正確なバックアップを作成してくれるサードパーティ製アプリですが、これらのアプリがOS X 10.11 El Capitanでは*正確な*バックアップが作成できなくなそうです。


El CapitanのSIP

 Appleは新しいシステム保護機能(System Integrity Protection)通称 “Rootless” を OS X 10.11 El Capitanに導入するとWWDC 2015で開発者に伝えており、Mac App Storeで配布されているSandbox内のアプリには特に影響を与えないものの、


706_security_and_your_apps
[Security and Your Apps – WWDC 2015– Apple Developer]

 App Store外で販売されているOS Xのシステムを拡張する”TotalFinder”や”TotalSpaces2″, “XtraFinder”, “Bartender”アプリなどが既に影響を受けることを確認しており、全てまたは一部の機能が使用できなくなると発表しています。

関連記事

SuperDuper と CCCは?

 Carbon Copy Clonerを開発しているBombich Softwareの記事によると、Rootlessは特別なシステムファイルに制限(restricted)フラグを付け、その”restricted”フラグが付けられたフォルダは例えrootユーザーであっても変更することは出来ず、


rootless-conf-Hero

 この制限(”restricted”フラグ)はサードパーティ製アプリも設定可能で、これについてはCCCとSuperDuperの開発者達はユーザーをマルウエアやウィルスか守るため賛成していますが、El Capitanのインストーラーはもう1つ特別な(“com.apple.rootless”と名付けられた)拡張属性をファイルシステムに割当てるそうです。(*OS XのEA:拡張属性について詳しく知りたい方は関連リンクから海上忍さんの記事へどうぞ)

In addition to this new “restricted” flag, the OS X Installer also applies a special extended attribute to these restricted system folders (named “com.apple.rootless”). This is a subtly different, but very important aspect of how System Integrity Protection works. Anybody can set the “restricted” fileflag (including CCC), but only the OS X Installer can set this special extended attribute.
This extended attribute is what the OS uses to determine if a particular system folder is “blessed” by Apple.
If a system folder has this special extended attribute, the OS allows special optimizations, like loading those particular components into a cache that improves system performance.

[El Capitan and third-party backup software – Bombich Software]

 この”com.apple.rootless”はOS Xが使用する特定のシステムフォルダがAppleが署名&作成したものかを判断し、OS Xはこの特別な拡張属性を持っているシステムフォルダのみにシステムパフォーマンス改善(具体的にはキャッシュの再構築)することを許可するそうで、


com-apple-rootless-EA

 SuperDuperの開発者のDave Nanianさんも「起動ディスクのバックアップを取る際、SuperDuperはファイルのコピーから”com.apple.rootless”拡張属性を取り除きます。よって、SuperDuperで作成されたバックアップは*正確なコピー*ではなくなり、次のリストア時にはSIPを無効にしなければなりません。これは小さい違いですが、とても重要です。リストア後のシステムはAppleを標的とした攻撃に脆弱になります」とコメントしています。

Since we can’t write the com.apple.rootless EA, SuperDuper removes it during the copy. That means the backup — while fully functional and bootable — is not an “exact copy” of the source. Specifically, SuperDuper! must disable the system protection feature on the backup, and cannot recreate it when you restore.

That’s a relatively minor difference, but it’s an important one. After restore, your system becomes vulnerable to the kinds of attacks that Apple is specifically protecting against.

[Uncovering our rootlessness – Shirt Pocket Watch Blog]

まとめ

以上をまとめれば

  1. Q.CCCやSuperDuperなどのサードパーティ製バックアップアプリでEl Capitanの起動ディスクのバックアップを取ることは可能か?


    A.
    可能だが完全なバックアップではない。
  2. Q.サードパーティ製バックアップアプリで作成した起動ディスクからリストアしたEl Capitanはどうなるのか?

    A.Rootlessが使用できず脆弱になり、”com.apple.rootless”拡張属性を引き継ぐことも不可能なので最適化もされない。

  3. 3rd-party-backup-app-feature-on-el-capitan2
    *イメージ図

  4. Q.解決策は?

    A.App StoreからOS X El Capitanをダウンロードして再インストール後にリストアする。

 ということになる様で、3.についてはAppleのTimeMachine機能と同様になるのでサードパーティ製バックアップアプリの優位性が無くなってしまう様にも見えます。

 既にSuperDuperとCCCはEl Capitan対応版のベータ版をリリースしていますが、CCCを開発しているBombich Softwareはサードパーティアプリの開発者にも”com.apple.rootless”を扱えるようコメントを求めています(rdar://21388402)。


CCC-and-SuperDuper-El-Capitan-version

関連リンク:

7月13日 8時50分:誤字修正しました、コメント欄でのご指摘ありがとうございます。

コメント

  1. Apple7743 より:

    また妙なEAが出てきたな〜、HomebrewやMacProtユーザーが苦労しそう

  2. Apple7743 より:

    りりーす

  3. Apple7743 より:

    こんなに簡単に外れちゃっていいのかしら。
    まぁ普通の人はCCCなんぞ使わないだろうけど。

  4. Apple7743 より:

    TimeMachine で復元時する時にも問題が起きるの?
    さすがにそれはないと思うんだが。
    TM で復元できるなら、他のツールは淘汰されてもよいんじゃね?

  5. Apple7743 より:

    どこにもTimeMachineの話は出てないんだが…。
    TMなら流石に問題ないだろうが、TMとCCCじゃ用途が全然違うから淘汰はされないだろうよ。

  6. Apple7743 より:

    こりゃまたひどい囲い込みをしたもんだ。
    余計なEAなんか要らないし、そんなのに人工掛けるくらいならシマンテックに投資するかNTTからse Linuxの技術貰えよ。

  7. Apple7743 より:

    TimeMachine使えばいいじゃん。