【コラム】

新・OS X ハッキング!

152 El Capitanの「SIP」をもっと知る

 

152/166

El Capitanにおける最大の変更点は、間違いなく「System Integrity Protection(SIP)」だ。第142回で紹介したとおり、スーパユーザ(root)の権限狭めることでセキュリティ向上を図る機能だが、代わりに/usr以下など特定領域へのファイルの書き込みおよび削除がrootですら不可能になる、という事態を招いてしまった。rootならなんでもできる、という従来のUNIX系OSにおける常識は今後通用しなくなる。

この変化に気付いていない読者のために、SIPがもたらす影響を具体的に説明しよう。まず、手作業でドライバなど拡張書類(KEXT)を追加/削除できなくなった。たとえば、あるICカードリーダを利用するには、ドライバを手動で/usr/libexec以下に手動コピーしなければならないが、そのような処理はSIPにより却下される。SIPはデフォルトで有効なため、これを無効化しないかぎりユーザによるシステム領域の変更は認められない。

SIPの無効化は第142回で書いたとおり、リカバリーモードでTerminalを起動し「csrutil」コマンドを実行(csrutil disable)を実行すれば可能だが、そうすると今度はOS Xのセキュリティが低下する。root権限がありさえすればファイルシステムを書き換えできることは長らく見過ごされてきたリスクであり、Appleの意図どおりここを制限すれば確実な効果が期待できる。確かに自由度は低下するものの、メリットとデメリットを比較すると受け入れる理由もうなずける新機構といえるだろう。

ところで、ディレクトリがSIPによる制限対象かどうかは、lsコマンドの「O」オプションで確認できる。グループ名の右横に「restricted」とあるディレクトリはSIPの対象であり、rootであっても書き込みできない。おかしいな、という場合にはこの方法で調べてみよう。

lsコマンドに「-lO」オプションを付けて実行すると、どの領域がSIP対象かわかる

SIPで保護される領域は「/System/Library/Sandbox/rootless.conf」に記載されている

設定情報はNVRAMに

SIPはOSより低位のレイヤーで管理されるため、設定情報はファイルシステム上ではなくファームウェアレベルで管理される。実際、nvramコマンドを使い「csr」というキーワードでNVRAMの内容を探ってみると、「csr-active-config」というキーになにやら値が登録されていることがわかる。これが、SIPの挙動を決めているに違いない。

$ nvram -p | grep -i csr
csr-active-config   %10%00%00%00

Appleが公開しているソースコードのコメント部分を見ると、この値の先頭1バイトはフラグ情報であろうことが推測できる。初期値の「10」(16進数)を2進数で表現すると「00010000」、すなわち4ビット目の「CSR_ALLOW_APPLE_INTERNAL」のみフラグが立っているということだ。

話が込み入るので端折らせていただくが、この16進数で表現されるフラグはcsrutilコマンドのオプションと連動している。ファイルシステムの変更を制限するフラグ(CSR_ALLOW_UNRESTRICTED_FS)は1ビット目、前述した4ビット目とあわせると「00010010」、これを16進数で表せば「12」。NVRAMにある「csr-active-config」の値との関係がわかるはずだ。

csrutilコマンドのオプション(リカバリーモードでのみ実行可能)
オプション 16進数
enable --no-internal 0x00
enable 0x10
enable --without kext 0x11
enable --without fs 0x12
enable --without debug 0x14
enable --without dtrace 0x30
enable --without nvram 0x50
disable 0x77

アップデート前のファイルの行方

El Capitanにアップグレードしたあと、SIPにより書き込み制限を受けた領域にあったはずのファイルがなくなった、という経験はないだろうか? それもそのはず、それらファイルはアップグレード時に/Library/SystemMigration/History以下へと強制移動されるからだ。

移動先のディレクトリ名には「Migration-」に続き一意のIDが使用され、lsコマンドなどで内容を見ると「QuarantineRoot」以下に「/System」や「/private」、「/usr」などといった領域がディレクトリ構造を保ったまま移動されていることがわかる。

$ ls -lR /Library/SystemMigration/History/Migration-[一意のID]/QuarantineRoot/

この領域を探せば、El Capitanにアップグレードしたときに行方不明となった書類を発見できるかもしれない。前述したICカードリーダのドライバも、ここにしっかり移動されていたことを報告しておこう。

El Capitanアップグレードのとき行方不明になったドライバは、/Library/SystemMigration/History以下に移動されていた

152/166

インデックス

連載目次
第166回 開発者でなくても「Swift」は便利に使える
第165回 次の「Sierra」で消えるあれこれ
第164回 「Continuity」非対応の旧型Macで「AirDrop」や「HandOff」を利用できるワザを発見!
第163回 URLスキームでiPhoneと賢く連携
第162回 El Capitan時代のデスクトップ裏設定術
第161回 El Capitan時代のFinder裏設定術
第160回 コマンド環境の充実度でWindows 10が急伸!? 負けじとOS Xの「bash」を日本語対応させる
第159回 Safari Technology Previewを試す
第158回 機能逆引きなら使える? 便利に使えるワンフレーズコマンド集(5)
第157回 機能逆引きなら使える? 便利に使えるワンフレーズコマンド集(4)
第156回 機能逆引きなら使える? 便利に使えるワンフレーズコマンド集(3)
第155回 機能逆引きなら使える? 便利に使えるワンフレーズコマンド集(2)
第154回 機能逆引きなら使える? 便利に使えるワンフレーズコマンド集(1)
第153回 まだまだ現役の光学ドライブを「drutil」で使う
第152回 El Capitanの「SIP」をもっと知る
第151回 さようならiTunes ~正確にCDを取り込む~
第150回 さようならiTunes ~MPDのススメ その2~
第149回 さようならiTunes ~MPDのススメ その1~
第148回 「El Capitan」のココが気になる ~音声入力編~
第147回 「El Capitan」のココが気になる ~ホスト名編~
第146回 El Capitan」のココが気になる ~Disk Utility編~
第145回 「El Capitan」のココが気になる ~消えた機能対策編~
第144回 「El Capitan」のココが気になる ~Spotlight編~
第143回 Terminalから見た「El Capitan」の変更点(2)
第142回 Terminalから見た「El Capitan」の変更点(1)
第141回 「Raspberry Pi」をOS Xで快適に使うために(3)
第140回 「Raspberry Pi」をOS Xで快適に使うために(2)
第139回 「Raspberry Pi」をOS Xで快適に使うために(1)
第138回 単発処理もOK、「pmset」の電源管理ワザ
第137回 Yosemiteで「Web共有」を復活させる
第136回 いまさら聞けない? シェルの基本技(2)
第135回 いまさら聞けない? シェルの基本技(1)
第134回 いまさら聞けない? ターミナルの環境整備(3)
第133回 いまさら聞けない? ターミナルの環境整備(2)
第132回 いまさら聞けない? ターミナルの環境整備(1)
第131回 軽いPNGをもっと「軽く」する
第130回 実は種類がある「PNG」の見分けかた
第129回 Yosemite使いは知っておくべき「Core Storage対策」
第128回 「lsappinfo」で知るCoreApplicationServices
第127回 知られざるツール「Widget Simulator」
第126回 Yosemiteでついに消えた「あのファイルたち」
第125回 「Sublime Text」奮闘記 ~実践編~
第124回 「Sublime Text」奮闘記 ~導入編~
第123回 MacとiPhoneですぐに試せる「iBeacon」
第122回 OS XのTTSフロントエンド「say」が歌う!
第121回 BSDレイヤー温故知新(5)「固有コマンド:textutil」
第120回 BSDレイヤー温故知新(4)「Spotlight」
第119回 BSDレイヤー温故知新(3)「スーパーサーバ」
第118回 BSDレイヤー温故知新(2)「KEXT」
第117回 BSDレイヤー温故知新(1)「iノード」
第116回 インタラクティブになった「say」と戯れる
第115回 意外に奥深い? 「字数カウント」のテク
第114回 Kindle本発売記念、defaultsコマンドのYet Anotherな使い方
第113回 あのファイルシステムをOS Xでラクに読み書き(1)
第112回 知っているとファイル検索が変わる「mdfind」
第111回 Yet Anotherなファイアウォール「PF」をラクに使う
第110回 MavericksにしたらNASがおかしい、そんなときの対策
第109回 FinderとTerminalの連携を考える
第108回 『Mavericksの新コマンド(2)』
第107回 『Mavericksの新コマンド(1)』
第106回 Mavericks目前だから「添付ファイル」を整理!
第105回 iOS 7公開直前! iOSデバイスのバックアップを整理する
第104回 OS Xの音声入力、知られざるワザ
第103回 Mavericksに備えてホームディレクトリをお引っ越し
第102回 Mavericksの新規インストールは「キーチェーン」のコピーで快適!
第101回 OS Xのデスクトップに「シェル由来の機能」を見る
第100回 いま敢えて「お約束のシェルの機能」を知る
第99回 Mavericks以降なくなる(はずの)アレコレ
第98回 ここにSVGファイルがあるじゃろ?
第97回 Mountain Lionの知名度は低いが有用なコマンドたち
第96回 スパイも安心? なファイル削除コマンド「srm」
第95回 あのデバイスのIPアドレスを調べるには
第94回 pkgutilでインストーラパッケージを削除する
第93回 いまや必須の「SDカード」と付き合う方法(後編)
第92回 いまや必須の「SDカード」と付き合う方法(前編)
第91回 OS X標準の機能でも、PDFはここまでできる
第90回 S Xを快適に使う「5つの心がけ」~ プロセス管理編
第89回 OS Xを快適に使う「5つの心がけ」~ 無線LAN編
第88回 OS Xを快適に使う「5つの心がけ」~ Safari編
第87回 OS Xを快適に使う「5つの心がけ」~ メモリ領域の管理編
第86回 OS Xを快適に使う「5つの心がけ」~ Launchpad編
第85回 ふと気がつけば4GB目前! 肥大化するログファイルに備えよう
第84回 話題の「File:///」とURLスキーム
第83回 Mountain Lionで消えた「enviroment.plist」
第82回 「QuickTime」に見るOS Xとの関係の変化
第81回 OS Xの「マルウェア」対策を知る
第80回 CS2騒動で思い出した「Rosetta」、そして「X11」
第79回 【新春特別企画】どうなる? 2013年のMacを考える
第78回 印刷をもっと楽しく! オリジナルの「表紙」をつくる
第77回 「Python」でGUIスクリプトを記述する
第76回 Web共有を復活させ「Wii U」の動画再生能力をチェック
第75回 毎年恒例の宛名印刷に「連絡先」のデータを生かす
第74回 いまも現役「WebObjects」との付き合い方
第73回 OS XでAndroid生活(MOVERIO BT-100編)
第72回 日本語ロケールと「Kyokoさん」の関係
第71回 Terminalから「共有」機能にアクセスすれば、画像添付ツイートもOK!
第70回 iPhone 5の「テザリング」とOS Xが共存共栄するには
第69回 意外? TerminalとTwitterは相性良好!
第68回 iPhone 5テザリング日記 ~au編~
第67回 DRMフリーで320kbps! 「Mora」の曲をiPhoneで聴こう
第66回 Terminalの制御コードに親しもう
第65回 特別編:iPod touch化したiPhone 4、自分はこう使う
第64回 ネイティブ化された「GIMP」を再びリスペクト
第63回 Bluetoothスピーカーの音質改善策、その意外な結末
第62回 知らなかった? ちょっと便利なMountain Lionの新機能(2)
第61回 知らなかった? ちょっと便利なMountain Lionの新機能(1)
第60回 「通知センター」の舞台裏を知る
第59回 iOSを超えた? Mountain LionのAirPlayサポート
第58回 続:iCloudは汎用ストレージとして使えるか?
第57回 iCloudは汎用ストレージとして使えるか?
第56回 新世代のOS Xユーザへ(4):情報の宝庫「/var」
第55回 SDHCカードをLionの起動ディスクとして使う
第54回 新世代のOS Xユーザへ(3):Terminalの暗黒面
第53回 新世代のOS Xユーザへ(2):知っておきたいコマンドたち
第52回 新世代のOS Xユーザへ(1):CUIのススメ
第51回 OS XがAirPlayの受け手になる「AirServer」を試す
第50回 iTunesで「ミドルレゾ音源」を楽しもう
第49回 軽い! 「フォトストリーム」を無手勝流検索
第48回 画像だけじゃない? OS Xに「高精細時代」が到来する
第47回 いま話題のリモートシェル「Mosh」を試す
第46回 外付けHDDをCore Storage形式に変換する
第45回 書類フォルダとして使える? 話題の「Google Drive」をテスト
第44回 知らなきゃ損する「tmutil」の便利機能
第43回 Emacsの「Dired」で拡張子を積極活用
第42回 フォトストリームに新iPad、RAW画像はどうする?
第41回 OS Xでも便利に使える「URLスキーム」
第40回 iPhoneの写真をOS Xで楽しむもうひとつの方法
第39回 実は大きく変わった「Safari 5.1.4」
第38回 Siriがなんだ! いまこそKyokoさんの魅力を再認識
第37回 これから必須のセキュリティモデル「サンドボックス」
第36回 DRMフリーになった「M4Aファイル」を解析する
第35回 番外編:夏登場の「Mountain Lion」、ココに注目
第34回 オープンソースの「Apple Lossless」を念入りに検証する
第33回 意外に知らない「画面共有」
第32回 OS Xで「Blu-ray」を読み書き(2)
第31回 OS Xで「Blu-ray」を読み書き(1)
第30回 「__MACOSX」の意味は? いま敢えて「zip」を見直す
第29回 enscriptでソースコードをカラー印刷
第28回 年末特別企画:ホームフォルダを大掃除
第27回 アスキーアートで描く「賀正」
第26回 手軽にOS Xを「AirPlayサーバ」として使う
第25回 高圧縮率画像フォーマット「WebP」をLionで使う
第24回 OS XのSafariから直接「AirPlay」する
第23回 Mailの「アドレス自動補完機能」をあれこれイジる
第22回 launchctlで読み解くLionとiCloudの関係
第21回 OS XでAndroid生活(スクリーンショット対策編)
第20回 あなたの知らない「Dock」の横顔
第19回 いま敢えて「Quick Look」をリスペクト
第18回 Safariの「リーディングリスト」を勝手に編集
第17回 Lionに見つけたSteveの面影
第16回 Kyokoさんに「OS X」を「オーエステン」と発音させる
第15回 Lion備忘録(8) ~タイムマシンにおねがい~
第14回 Lion備忘録(7) ~これ知ってる? なTIPS~
第13回 Lion備忘録(7) ~フルスクリーンと賢く付き合う~
第12回 Lion備忘録(5) ~キーボード愛好者へ捧ぐ~
第11回 Lion備忘録(4) ~Lionの「おせっかい」対策~
第10回 Lion備忘録(3) ~LaunchPadの謎を解く~
第9回 Lion備忘録(2) ~「Mission Control」に慣れる~
第8回 話題のクラウド「Nドライブエクスプローラー」を試す
第7回 Lion備忘録(1) ~「avconvert」で知るCoreMedia~
第6回 Lionへアップグレードするその前に~インストールDVDをつくろう~
第5回 強力無比のターミナルエミュレータ「iTerm2」
第4回 MacBook Proのスーパードライブにさようなら
第3回 万能ナイフ的メディアプレイヤー「VLC」の知られざる機能
第2回 Lion直前だからこそ、スマートにHDDを健康診断する
第1回 ひと足お先に「iTunes in the Cloud」で音楽の同期を試す

もっと見る

人気記事

一覧

新着記事

モノのデザイン 第7回 ブランドの象徴「金のリング」を"再定義" - タムロン 一眼レフ用交換レンズ「SPシリーズ」(後編)
[09:40 7/26] 企業IT
【連載】プライベートクラウド検討者のための Azure Stack入門 [7] Azure Stackのアーキテクチャを見てみよう(その2)
[09:30 7/26] 企業IT
【連載】にわか管理者のためのLinux運用入門 [32] パッケージ管理システムの使い方(Mac編:その1)
[09:30 7/26] 企業IT
【特別企画】中堅・中小企業も狙われる時代、押さえるべきセキュリティ対策4ポイント
[09:30 7/26] 企業IT
日本とアメリカの企業インターンシップにおける違い
[09:30 7/26] 経営・ビジネス