macOS 10.15 Catalinaではrootユーザーでもアクセス権を得ることができないシステム整合性保護SIPの「rootless.conf」で”/Library/Apple”や”/System”が一部変更されます。詳細は以下から。
Appleは2015年にリリースしたOS X 10.11 El Capitanで、「SIP : System Integrity Protection (システム整合性保護:通称Rootless)」という、rootユーザーであってもアクセス権を得ることができないシステムフォルダを指定しセキュリティを強化しましたが、本日リリースされたmacOS 10.15 Catalinaでは、このSIPの設定ファイル「rootless.conf」がアップデートされています。
macOS 10.14 MojaveとmacOS 10.15 Catalinaのrootless.confのdiffはこちらで確認できますが、macOS Catalinaではこれまで同様”/System”、”/usr”、”/bin”、”/sbin”、”/var”およびAppleのデフォルトアプリがSIP配下にあることは変わらないものの、AppleがシステムボリュームをRead-Only化した事に伴い、そのシステムボリュームに作成された”/Library/Apple”および”/System/Library/”ディレクトリがSIPの対象として大きく変更されています。
$cat /System/Library/Sandbox/rootless.conf
/Applications/Safari.app
/Library/Apple
...
AudioSettings /Library/Preferences/Audio/Data
...
# template locations
* /System/Library/Templates/Data
* /System/Library/Templates/Data
/System/Library/Templates/Data/Applications/Safari.app
/System/Library/Templates/Data/Library/Apple
TCC /System/Library/Templates/Data/Library/Application Support/com.apple.TCC
CoreAnalytics /System/Library/Templates/Data/Library/CoreAnalytics
...
ExtensibleSSO /private/var/db/ExtensibleSSO/Configuration
...
dyld /private/var/db/dyld
timezone /private/var/db/timezone
* /private/var/folders
/private/var/install
/sbin
/usr
* /usr/libexec/cups
* /usr/local
* /usr/share/man
* /usr/share/snmp
# symlinks
/etc
/tmp
/var おまけ
多くのアプリやライブラリは既にSIPに対応し、SIP対象のディレクトリを利用しないようにしていると思われますが、macOS 10.15 Catalinaでは今回変更された「rootless.conf」の対象ディレクトリにサードパーティの設定ファイルなどがあると、強制的に共有ディレクトリに移動する機能が追加されているので、心当たりのある方は注意してください。
