为啥 macOS 非应用市场安装的应用可以读取 .ssh 目录下的密钥

这就是最传统的可执行程序的逻辑啊

不然呢，你的.ssh 目录就是用户可读的权限呀。所以一概建议重要设备上的 ssh 密钥加上 passphrase ，然后每次启动之后 ssh-add 进去。如果嫌麻烦可以加到 keychain 里去自动挂载

@dilidilid 请问 keychain 自动挂载是什么意思?

@huoshen #3 https://superuser.com/questions/1127067/macos-keeps-asking-my-ssh-passphrase-since-i-updated-to-sierra

你放在 home 目录下的文件，不就是要供你自己打开程序来读取嘛。不光能读 .ssh ， 那些什么 .bashrc ，.zshrc 以及什么 documents 、downloads 都可以读。
简单来说，你要确保你打开的程序是可信的。

建议在生成 key 的时候设置密码（ passphrase)，然后用 `ssh-add --apple-use-keychain` 存进 icloud keychain ，每次开机的时候 `ssh-add --apple-load-keychain` 把所有的 passphrase 导入 ssh-agent 中就行，这时候 passphrase 都是保存在内存中的了，不怕读取了，app 能读到的私钥都是加密的。

搞不太懂苹果的权限逻辑，好像对 Documents/Downloads 这些文件夹有额外的权限

@lovestudykid 可能在苹果看来这些 User Folders 属于普通用户会使用的文件夹需要专门保护一下，.ssh 则属于 Pro 用户才会使用的东西，Pro 用户应该自己对这些组件的安全性负责。

另外从 Application 的层次这东西也很难保护，你总得给 Terminal 整个 Home 目录甚至全盘的权限很多 workflow 才能正常运行，给了 Terminal 权限等于所有的脚本和命令行程序都能访问，那也没啥区别呀