osquery在macOS 15中alf_explicit_auths表失效的技术分析

在macOS系统监控工具osquery的最新版本中，开发人员发现了一个与防火墙授权表相关的重要兼容性问题。本文将深入分析这一技术问题的本质、产生原因以及解决方案。

问题背景

osquery作为一款开源的系统监控工具，提供了丰富的系统信息查询功能。其中alf_explicit_auths表原本用于查询macOS应用程序层防火墙(ALF)的显式授权规则。然而在最新的macOS 15系统中，这一功能出现了异常。

问题表现

当用户在macOS 15系统上执行SELECT * FROM alf_explicit_auths;查询时，会出现以下情况：

1. 查询结果为空，无法获取任何防火墙授权信息
2. 系统日志中会记录错误信息："Error parsing /Library/Preferences/com.apple.alf.plist: Unable to read plist"

技术分析

经过深入调查，发现这一问题的根本原因在于macOS 15系统架构的重大变更：

1. 配置文件位置变更：传统上存储防火墙设置的com.apple.alf.plist配置文件在macOS 15中已不再使用
2. 管理工具变更：/usr/libexec/ApplicationFirewall/socketfilterfw命令行工具也不再支持显式授权规则的管理
3. 新接口出现：系统现在通过system_profiler SPFirewallDataType命令提供防火墙状态信息，数据结构也发生了显著变化

新旧架构对比

特性	macOS 14及之前	macOS 15
配置文件	com.apple.alf.plist	无专用plist文件
查询方式	直接读取plist	通过system_profiler获取
显式授权	支持	不再支持
管理工具	socketfilterfw支持完整功能	功能缩减

解决方案

osquery开发团队已经针对这一问题采取了以下措施：

1. 版本兼容处理：在代码中明确标记该表在macOS 15+系统中不再受支持
2. 错误处理优化：避免在不支持的系统中尝试读取不存在的配置文件
3. 文档更新：明确说明该表的功能限制和系统兼容性

技术建议

对于依赖alf_explicit_auths表进行安全监控的用户，建议：

1. 在macOS 15+环境中改用其他监控方式
2. 关注防火墙状态的新接口system_profiler SPFirewallDataType
3. 考虑使用osquery的其他安全相关表作为替代方案

总结

这一案例展示了操作系统升级对系统监控工具带来的挑战。osquery团队通过快速响应和明确的功能标记，确保了工具的稳定性和透明度。对于安全运维人员来说，理解这些底层变更对于构建可靠的监控体系至关重要。