Неверная папка remotedesktop в usr /local - безопасна?

Выполняя некоторую очистку старых файлов на моем Mac (macOS 10.12.4, обновив несколько дней назад), я просто обнаружил странный файл, о котором я не мог найти.

В usr/local есть папка с именем remotedesktop с файлом RemoteDesktopChangeClientSettings.pkg.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Хотя я знаю, что у удаленных настольных клиентов много законных вариантов использования, я немного волнуюсь, откуда это происходит, поскольку я никогда не использовал их на этой машине.

Является ли этот файл регулярной частью ОС или файла поставщика, который был там размещен? Должен ли я попытаться открыть его?

14 голосов | спросил Sven 9 PMpSun, 09 Apr 2017 19:27:23 +030027Sunday 2017, 19:27:23

3 ответа


11

Чтобы определить происхождение, у вас есть несколько инструментов:

  • Подписание кода. Проверьте подписание кода приложения /pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Это дает следующее:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Кажется законным и (сравнивая его с другими приложениями) с самим Apple. Если приложение /pkg было подписано другой компанией, по крайней мере одна из строк «Управление» будет показывать другого поставщика /разработчика.

  • Проверьте файлы макета чеков:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    , который, вероятно, даст:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Проверьте соответствующий файл plist, и вы получите пакет установщика: RemoteDesktopClient 3.9.2. Кажется, тоже законно Apple. Теперь вы можете lsbom ... файл. См. man lsbom.

    Вторая папка Receipts с не-Apple boms /plists находится в папке /Library!


Есть, вероятно, еще несколько способов проверить, является ли файл законным или нет, который я попытаюсь добавить позже.

ответил klanomath 9 PMpSun, 09 Apr 2017 20:32:35 +030032Sunday 2017, 20:32:35
1

Я также вижу пакет /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg на моем MacBook Pro, работающий под управлением macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Я обновил до High Sierra 14 ноября.

Проверка подписи с использованием pkgutil, я вижу, что пакет был подписан ненадежным сертификатом:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

При попытке открыть пакет, я вижу это предупреждение: предупреждение о недопустимом сертификате

Когда я нажимаю кнопку Показать сертификат, я вижу, что срок действия сертификата истек: expired certificate

Таким образом, вероятно, не рекомендуется устанавливать эту версию пакета RemoteDesktopChangeClientSettings.pkg: -)

ответил Rohan Talip 15 FriEurope/Moscow2017-12-15T03:17:54+03:00Europe/Moscow12bEurope/MoscowFri, 15 Dec 2017 03:17:54 +0300 2017, 03:17:54
0

Это определенно компонент Apple. Он остался даже после того, как я попытался удалить мой Remote Desktop.app, поэтому я предполагаю, что это может быть установлено ОС.

Я зарегистрировал проблему с Apple Bugs, так как /usr /local предназначено под управление пользователя, и там не должно быть никаких файлов ОС, установленных там.

Я удалил папку my /usr /local /remotedesktop, так как уродливо ее там, но она может сломать Remote Desktop каким-то образом, не уверен. Надеясь, что следующее обновление ОС может устранить проблему и не помещать файлы в /usr /local больше.

ответил Eduard Rozenberg 5 J0000006Europe/Moscow 2017, 01:10:15

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132