내 Mac에서 오래된 파일을 정리하는 동안 (macOS 10.12.4, 며칠 전에 업데이트 됨) 방금 정보를 찾을 수없는 이상한 파일을 발견했습니다.
에서가 usr/local,라는 폴더가 remotedesktop와 RemoteDesktopChangeClientSettings.pkg파일 내부.
drwxr-xr-x 3 root wheel 102 6 Mär 20:10 remotedesktop
drwxr-xr-x 3 root wheel 102 6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg
원격 데스크톱 클라이언트에는 합법적 인 사용 사례가 많이 있다는 것을 알고 있지만이 컴퓨터에서는 전혀 사용하지 않았기 때문에 이것이 어디에서 오는지 약간 걱정됩니다.
이 파일은 OS의 정규 부분입니까, 아니면 그 곳에있는 벤더 파일입니까? 시도하고 열어야합니까?
답변:
원점을 확인하려면 몇 가지 도구가 있습니다.
코드 서명. app / pkg의 코드 서명을 확인하십시오.
codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg
결과는 다음과 같습니다.
Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
Format=installer package bundle
CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
Hash type=sha1 size=20
CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Hash choices=sha1
CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Signature size=4072
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Info.plist entries=24
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=21
Internal requirements count=1 size=96
Apple 자체에서 합법적이고 다른 앱과 비교하여 보입니다. app / pkg가 다른 회사에서 서명 한 경우 하나 이상의 Authority 라인이 다른 공급 업체 / 개발자를 표시합니다.
영수증 Bom 파일을 확인하십시오.
grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
아마 다음을 얻을 것입니다 :
Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
해당 plist 파일을 확인하면 설치 프로그램 패키지 : RemoteDesktopClient 3.9.2가 표시됩니다. 애플도 합법적이다. 이제 lsbom ...파일을 만들 수 있습니다 . 참조하십시오 man lsbom.
Apple boms / plists가 아닌 두 번째 영수증 폴더는 / Library 폴더에 있습니다!
파일이 합법적인지 여부를 확인하는 더 많은 방법이있을 수 있습니다. 나중에 추가하려고합니다.
macOS 10.13.1 (High Sierra)을 실행하는 MacBook Pro에 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 패키지도 있습니다.
$ sw_vers
ProductName: Mac OS X
ProductVersion: 10.13.1
BuildVersion: 17B1003
$ cd /usr/local/remotedesktop
$ /bin/ls -la
total 0
drwxr-xr-x 3 root wheel 96 Nov 14 10:34 .
drwxr-xr-x 11 root wheel 352 Dec 14 15:19 ..
drwxr-xr-x 3 root wheel 96 Feb 14 2017 RemoteDesktopChangeClientSettings.pkg
11 월 14 일에 High Sierra로 업그레이드했습니다.
pkgutil을 사용하여 서명을 확인하면 패키지가 신뢰할 수없는 인증서로 서명 된 것으로 보입니다.
$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
Status: signed by untrusted certificate
Certificate Chain:
1. Software Signing
SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
-----------------------------------------------------------------------------
2. Apple Code Signing Certification Authority
SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
-----------------------------------------------------------------------------
3. Apple Root CA
SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60
패키지를 열려고 할 때 다음 경고가 표시됩니다.
인증서 표시 버튼을 클릭하면 인증서가 만료 된 것을 볼 수 있습니다.
따라서이 버전의 RemoteDesktopChangeClientSettings.pkg 패키지를 설치하지 않는 것이 좋습니다. :-)
확실히 애플 컴포넌트입니다. Remote Desktop.app 제거를 시도한 후에도 남아 있으므로 OS가 설치했을 수 있습니다.
/ usr / local이 사용자가 제어 할 수 있고 설치된 OS 파일이 없어야하므로 Apple Bugs에 문제를 제기했습니다.
/ usr / local / remotedesktop 폴더가 잘못되어 삭제 되었으나 확실하지 않은 방식으로 원격 데스크톱이 손상 될 수 있습니다. 다음 OS 업데이트를 원하면 문제가 해결되고 더 이상 / usr / local에 파일이 저장되지 않을 수 있습니다.