GateKeeper를 사용하면 아무것도 설치할 수 있습니다.


9

게이트 키퍼 설정이 "AppStore Only"인 경우에도 사용자 지정 웹 사이트에서 응용 프로그램을 다운로드하여 실행할 수 있습니다. 이것은 내 응용 프로그램입니다-서명조차하지 않았습니다.

그 이유는 무엇입니까? 3 가지 Mac 모두에서이 동작을 재현 할 수 있습니다.


2
앱을 어떻게 다운로드하고 확장합니까?
Gordon Davisson

smb : // 서버 파일 위치를 통해. 그것들을 내 데스크탑에 복사합니다. 다른 기계에서는 안전 메커니즘이 적절하게 트리거됩니다. 내 컴퓨터에서 "AppStore 전용"이 있어도 동일한 파일을 사용하지만 동일한 방식으로 설치 및 실행에 제한이 없습니다. 신비.
JasonGenX

2
http를 통해 동일한 파일을 다운로드하면 어떻게됩니까?
stuffe

답변:


7

관리자가 Finder에서 앱을 마우스 오른쪽 버튼으로 클릭하여 항상 Gatekeeper를 재정의하고 애플리케이션을 열 수있는 상태 별 기능입니다.

관리자는 게이트 키퍼 설정을 변경하거나 완전히 비활성화 할 수 있으므로 관리자가 비준수 (서명되지 않은)를 허용 할 수 있도록 일회성 화이트리스트 대화 상자를 표시 할 때 실제 눈에 해를 끼치 지 않습니다. 또는 비 Mac App Store) 응용 프로그램을 실행하십시오.

Gatekeeper에 대한 Apple의 교육 대화 상자-support.apple.com/kb/HT5290

이제 관리자가 아닌 사용자가 Gatekeeper를 우회 할 수있는 방법을 찾은 경우, 정책 응용 프로그램을 실행할 수 있도록 구현 오류가 발생한 경우 패치를 적용하면 Apple에 보안 취약점을 신고하여 취약점을 발견 할 수 있습니다.

Apple은 명시 적으로 응용 프로그램을 허용 목록에 추가하는 방법에 대해이 기능을 자세히 설명합니다.

Gatekeeper는 맬웨어 방지가 아니며 차단 목록이 아닙니다. 올바르게 서명 된 응용 프로그램을 처음 시작하거나 Mac App Store 영수증의 유효성을 검사 할 수있는 정책 세트입니다. 관리자가 비준수 소프트웨어의 실행을 명시 적으로 시작한 다음 승인하면 Gatekeeper의 결함을 발견하는 대신 교육 또는 정책 문제가 발생 합니다.

세부적으로, 게이트 키퍼가 방해받지 않고 신속하게 실행할 수 있도록 모든 앱을 화이트리스트에 올리는 데 도움이되는 애플의 도움 관련 부분을 요약했습니다.

미확인 개발자로부터 앱을 열고 Gatekeeper에서 면제하는 방법

인터넷에서 다운로드 한 앱이 최신 버전이고 신뢰할 수있는 출처에서 온 것으로 확신하는 경우 다음 단계에 따라 미확인 개발자로부터 앱을 열 수 있습니다.

중요 사항 : 개발자 ID 서명을 획득하는 과정에서 개발자가 제공 한 일부 Apple 선별 앱은 두 번 클릭하면 "열기"옵션이 표시됩니다.

참고 : 대부분의 경우 Mac의 모든 사용자 계정에 대해이 단계를 한 번만 수행하면됩니다.

  • Finder에서 앱 아이콘을 Control- 클릭하거나 마우스 오른쪽 버튼으로 클릭하십시오.
  • 상황에 맞는 메뉴 상단에서 열기를 선택하십시오.
  • 대화 상자에서 열기를 클릭하십시오. 프롬프트가 표시되면 관리자 이름과 비밀번호를 입력하십시오.

참고 : 여러 게이트 키퍼 대화 상자를 표시하는 앱이있는 경우 게이트 키퍼의 "항상"옵션을 임시로 사용할 수 있습니다. 게이트 키퍼 기능을 다시 사용하려면 이전에 있던 게이트 키퍼 옵션을 복원하십시오.

이 기능을 인식하지 못하는 사용자에게 관리자 이름과 암호를 전달하지 않고 응용 프로그램을 화이트리스트에 추가 할 수있는 사람을 쉽게 제어 할 수 있으며 터미널이나 프로필 관리자 및 JAMF의 Casper와 같은 기타 관리 설정 소프트웨어에서 게이트 키퍼를 관리 할 수도 있습니다. 허용 된 앱 목록을 주기적으로 재설정하기 위해 허용 된 앱 목록을 컴퓨터에서 감사하고 정책 및 습관을 변경하려는 경우이 기능을 수행하는 사람을 확인할 수도 있습니다.


이 일회성 대화 상자를 재설정하는 설정이 있습니까? 응용 프로그램 당입니까? 앱은 어떻게 식별 되나요? 이름? 통로? "MyApp.app"을 한 번 열도록 선택한 경우 GateKeeper 설정에 관계없이 "MyApp.app"의 모든 다운로드 및 설치가 성공합니까?
JasonGenX

각 사용자는 저장받을 다른 규칙이는 / var / DB / SystemPolicy - 당신은 닦아하고 다시 시작 넘겨 조금 무거운 것,하지만 당신은 함께 특정 규칙을 제거 할 수 있도록 spctl그래서 spctl --assess -v /Applications/Whatever.app그것을 허용 또는 거부 않다면 당신을 볼 수 있으며, spctl --remove /Applications/Whatever.app다시 것 특정 애플리케이션의 "대화 상자"및 상태 도구를 사용하여 시스템에서 모든 앱을 수집하여 사용량을 감사하고 필요할 때 짧은 스크립트로 문제를 해결할 수 있습니다.
bmike

그러나 Gordon의 답변 에 따르면 이는 설정중인 검역소 비트에 따라 달라지기 때문에 GateKeeper에 화이트리스트 항목이 없거나 (또는 ​​제거됨) 검역소 비트를 재설정하거나 ' 게이트 키퍼 "대화 상자 및 열린 보호.
bmike

10

SMB를 통해 파일을 다운로드 해도 검역 이 트리거되지 않으며 앱이 검역되지 않으므로 게이트 키퍼 정책이 확인되지 않습니다. 왜 다른 컴퓨터에서 검역소로 표시되는지 잘 모르겠습니다.

언제든지 검역소를 검사하려면 ls -ld@명령을 사용 하여 com.apple.quarantine 속성을 찾으십시오.

$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon  staff  102 Apr 30  2012 /Applications/TextWrangler.app
    com.apple.FinderInfo     32 
    com.apple.quarantine     57 

해당 검역 속성이 앱에 첨부되면 게이트 키퍼 정책이 확인됩니다. 그렇지 않으면 그렇지 않습니다. 흥미로운 질문은 다른 컴퓨터에서 격리 된 이유이며,이 명령을 사용하여 응용 프로그램을 배포 할 때 다양한 지점에서 응용 프로그램을 검사하는 경우 특성이 언제 첨부 되는지 (그리고 첨부되는지) 알아낼 수 있습니다 .

편집 : Apple KB 기사 # HT5290의 "자세한 내용을 보려면 여기를 클릭하십시오"섹션에 이와 관련된 메모가 있습니다 .

중요 : 개발자 ID 서명은 인터넷에서 다운로드 한 앱에 적용됩니다. 인터넷에서 앱을 처음 다운로드하지 않은 경우 파일 서버, 외장 드라이브 또는 광 디스크와 같은 다른 소스의 앱은 제외됩니다.


Gatekeeper는 검역소와 별개이지만 Mac App Store에서 서명하지 않았거나 서명하지 않은 새 소프트웨어가 실수로 실행되는 것을 방지합니다. 자세한 내용은 내 답변을 참조하십시오.
bmike

1
@bmike : 실제로 게이트 키퍼는 격리 시스템의 확장입니다. 앱을 다운로드 한 다음 실행 xattr -d com.apple.quarantine하면 게이트 키퍼 정책을 위반하더라도 앱 을 열 수 있습니다.
Gordon Davisson

게이트 키퍼 정책을 위반하는 모든 앱을 이미 열 수 있습니다. 방금 (관리자 대화 상자) 정책 응용 프로그램에서 화이트리스트에 올릴 수 있습니다. Mac App Store 만 있거나 서명 된 앱만있는 경우 관리자가 아닌 사용자가 하나의 명령으로 검사를 우회 할 수 있다는 말입니까?
bmike

1
@ bmike : 그렇습니다. 관리자가 아닌 계정에서 서명되지 않은 응용 프로그램의 다운로드, dequarantining 및 실행을 테스트했으며 Gatekeeper가 Mac App Store 전용 모드로 설정되어 있어도 정상적으로 작동했습니다. 그러나 나는 이것이 악의적 인 사용자가 이와 같은 명령을 실행하도록 사용자에게 말할 수 있다면 아무거나 이야기 할 수 있고 어쨌든 사용자는 운명에 처해 있기 때문에 (관리자가 아니기 때문에) 그들이 손상시킬 수있는 것은 모두 자신의 계정입니다).
Gordon Davisson

1
이. 검역소는 게이트 키퍼와 동일하지 않지만 게이트 키퍼는 검역소의 메타 데이터를 사용하며,이 파일은 다운로드 된 파일에 확장 된 속성 메타 데이터로 첨부됩니다. 현상금을 수여 할 수 있으면 여기에서 수여합니다.
다니엘

4

이 숨겨진 환경 설정을 활성화하면 Gatekeeper도 비활성화됩니다.

defaults write com.apple.LaunchServices LSQuarantine -bool false

또는 OS X에서는 시스템 환경 설정의 설정에 관계없이 모든 응용 프로그램을 열 수 있습니다.


죄송합니다.이 부분을 완전히 놓치고 별도의 답변과 동일한 내용을 게시했습니다. 삭제 중…
TJ Luoma

2

Gatekeeper는 두 번 클릭하여 앱이 실행되는 것을 방지하지만 상황에 맞는 메뉴에서 열기 를 선택하여 앱을 항상 재정의 할 수 있습니다 .

두 번 클릭하여 다운로드 한 서명되지 않은 앱을 실행할 수 있다면 이것은 Gatekeeper의 문제입니다. 파일은 격리 상태를 com.apple.quarantine 이라는 확장 된 속성 에 저장합니다 . 다운로드 한 파일에서 어떤 이유로이 속성을 지우면 Gatekeeper는 다운로드 한 파일을 컴퓨터의 다른 파일과 다르지 않은 것으로 간주합니다. 따라서 Xcode가 설치되어 있으면 프로그램을 다운로드 한 다음 터미널에서 사용 하는 것이 좋은 진단 도구가 될 것을 제안합니다 .xattr -l filename

메뉴에서 열기 명령을 통해 실행하면 설계된 동작입니다. 메뉴에서 프로그램을 실행 한 후에는 게이트 키퍼 설정에 관계없이 두 번 클릭하여 계속 실행할 수 있습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.