osquery在macOS 15中alf_explicit_auths表的兼容性问题分析

背景介绍

osquery是一款由Facebook开源的跨平台系统监控工具，它通过SQL查询的方式让用户能够像查询数据库一样获取操作系统层面的各种信息。在macOS系统中，osquery提供了alf_explicit_auths表用于查询应用程序防火墙(ALF)的显式授权规则。

问题发现

在最新的macOS 15系统中，开发人员发现alf_explicit_auths表查询不再返回任何结果。经过深入调查，确认这是由于macOS 15对应用程序防火墙机制进行了重大调整，导致原有的查询方式失效。

技术分析

原有机制

在macOS 14及更早版本中，应用程序防火墙的配置信息存储在以下位置：

1. /Library/Preferences/com.apple.alf.plist文件
2. 通过/usr/libexec/ApplicationFirewall/socketfilterfw命令行工具管理

alf_explicit_auths表正是通过解析这些数据源来获取防火墙规则的。

macOS 15的变化

macOS 15对防火墙系统进行了重构，主要变化包括：

1. 移除了传统的com.apple.alf.plist配置文件
2. socketfilterfw工具不再支持显式授权规则查询
3. 防火墙配置现在主要通过系统Profiler(system_profiler)工具获取

新的防火墙信息可以通过以下命令查看：

system_profiler -json SPFirewallDataType

输出格式为JSON，包含应用程序和服务级别的防火墙规则，但不再有"显式授权"的概念。

影响范围

这一变化影响了所有依赖alf_explicit_auths表的监控和安全解决方案，包括：

1. 企业安全合规检查
2. 终端安全防护系统
3. 系统配置审计工具

解决方案

osquery团队已经通过以下方式解决了这个问题：

1. 在代码中明确标记该表在macOS 15+上不再可用
2. 避免在macOS 15上尝试读取不存在的plist文件
3. 更新文档说明该表的兼容性限制

建议

对于需要在macOS 15上获取防火墙信息的用户，可以考虑以下替代方案：

1. 使用system_profiler工具获取防火墙状态
2. 关注osquery未来可能新增的对新防火墙机制的支持
3. 开发自定义表来解析新的防火墙数据格式

总结

macOS 15对防火墙系统的重构导致了osquery中alf_explicit_auths表的功能失效。这提醒我们，在跨平台系统监控工具开发中，需要持续关注各操作系统的重要变更，并及时调整实现方案。osquery团队已经快速响应了这一变化，确保了工具的稳定性和用户体验。