/ private é um contêiner para partes da hierarquia padrão do sistema de arquivos unix que pode variar entre computadores individuais (por exemplo, / etc é um link simbólico para / private / etc, onde estão os arquivos de configuração reais). AIUI isto foi originalmente feito para suportar netbooting sob NextSTEP. A idéia era que / seria uma unidade compartilhada montada em rede e um volume local seria montado em / private para armazenar os arquivos por computador (consulte esta resposta anterior do apple.se ). Esta necessidade já passou há muito tempo, mas a organização permaneceu por inércia.
Quanto ao seu tratamento durante os upgrades: a maioria é deixada no lugar durante os upgrades, mas está sujeita a modificações. Por exemplo, aqui está uma lista dos arquivos novos / alterados na atualização 10.8.2:
$ pkgutil --payload-files OSXUpd10.8.2.pkg | grep ./private
./private
./private/etc
./private/var
./private/var/db
./private/var/tmp
./private/var/tmp/DeferredInstallFixup.file_list
./private/var/db/.SystemPolicy-default
./private/var/db/dslocal
./private/var/db/dslocal/nodes
./private/var/db/dslocal/nodes/Default
./private/var/db/dslocal/nodes/Default/groups
./private/var/db/dslocal/nodes/Default/groups/_assetcache.plist
./private/var/db/dslocal/nodes/Default/users
./private/var/db/dslocal/nodes/Default/users/_assetcache.plist
./private/var/db/dslocal/nodes/Default/users/_geod.plist
./private/var/db/gke.auth
./private/var/db/gke.sigs
./private/etc/authorization.merge
Note que / private / var / db / dslocal / nós / Default / é equivalente a OS / X de / etc / passwd, / etc / groups, etc em um sistema unix padrão, então o que a instalação está fazendo é criar (ou substituindo se já existissem) os usuários _assetcache e _geod, e o grupo _assetcache. Outros usuários & grupos serão deixados no lugar.
Além disso, a lista acima pode estar incompleta. Ele mostra apenas arquivos diretamente incluídos na carga da atualização, não arquivos que serão modificados por scripts incluídos no instalador.