usr / local中的怪异remotedesktop文件夹-安全吗?


16

在清理Mac上的旧文件(macOS 10.12.4,已在几天前更新)时,我只是发现了一个奇怪的文件,找不到任何信息。

在中usr/local,有一个名为remotedesktopRemoteDesktopChangeClientSettings.pkg文件夹,其中包含文件。

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

虽然我知道远程桌面客户端有很多合法的用例,但是我从没在此计算机上使用过任何东西,因此我对此感到有些担心。

该文件是操作系统的常规部分还是放置在此处的供应商文件?我应该尝试打开它吗?

Answers:


15

要确定原点,您可以使用几种工具:

  • 代码签名。检查app / pkg的代码签名:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    这将产生以下结果:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    看起来合法,并且(与其他应用程序相比)来自苹果本身。如果app / pkg由另一家公司签署,则管理局行中至少有一个显示不同的卖方/开发人员。

  • 检查收货清单文件:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    这可能会产生:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    检查相应的plist文件,您将获得安装程序包:RemoteDesktopClient 3.9.2。苹果似乎也合法。现在您可以lsbom ...文件了。请参阅man lsbom

    / Library文件夹中还有另一个非Apple boms / plists的Receipts文件夹!


可能还有更多方法可以检查文件是否合法,我稍后将尝试添加。


哇,谢谢你的回答!我不仅对文件的合法性感到放心,而且还很高兴有新的知识要学习-确定文件的来源有时对我来说真的很重要。
Sven

1

我还在运行macOS 10.13.1(High Sierra)的MacBook Pro上看到了/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg程序包。

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

我于11月14日升级到High Sierra。

使用pkgutil检查签名,我发现该程序包已由不受信任的证书签名:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

在尝试打开包装时,我看到以下警告: 无效的证书警告

当我单击“显示证书”按钮时,我看到证书已过期: 过期证书

因此,建议不要安装此版本的RemoteDesktopChangeClientSettings.pkg软件包:-)


0

它绝对是Apple的组件。即使在尝试卸载Remote Desktop.app之后,它仍然存在,所以我猜想它可能是操作系统安装的东西。

我向Apple Bugs提出了一个问题,因为/ usr / local应该在用户的控制之下,并且那里永远不会安装任何OS文件。

我删除了/ usr / local / remotedesktop文件夹,因为该文件夹很丑陋,但不确定,它可能会以某种方式破坏远程桌面。希望下一次操作系统更新可以解决此问题,并且不再将文件放在/ usr / local中。


欢迎问不同。请不要在“答案”部分中添加评论。这仅用于回答问题。如果您有其他问题,可以点击提问进行提问。一旦您有足够的声誉,您还可以悬赏以吸引更多对此问题的关注。请参阅“ 如何提问”以获取有关如何提问的更多信息。-评论
-fsb
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.