在清理Mac上的旧文件(macOS 10.12.4,已在几天前更新)时,我只是发现了一个奇怪的文件,找不到任何信息。
在中usr/local,有一个名为remotedesktop的RemoteDesktopChangeClientSettings.pkg文件夹,其中包含文件。
drwxr-xr-x 3 root wheel 102 6 Mär 20:10 remotedesktop
drwxr-xr-x 3 root wheel 102 6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg
虽然我知道远程桌面客户端有很多合法的用例,但是我从没在此计算机上使用过任何东西,因此我对此感到有些担心。
该文件是操作系统的常规部分还是放置在此处的供应商文件?我应该尝试打开它吗?
Answers:
要确定原点,您可以使用几种工具:
代码签名。检查app / pkg的代码签名:
codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg
这将产生以下结果:
Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
Format=installer package bundle
CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
Hash type=sha1 size=20
CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Hash choices=sha1
CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Signature size=4072
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Info.plist entries=24
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=21
Internal requirements count=1 size=96
看起来合法,并且(与其他应用程序相比)来自苹果本身。如果app / pkg由另一家公司签署,则管理局行中至少有一个显示不同的卖方/开发人员。
检查收货清单文件:
grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
这可能会产生:
Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
检查相应的plist文件,您将获得安装程序包:RemoteDesktopClient 3.9.2。苹果似乎也合法。现在您可以lsbom ...文件了。请参阅man lsbom。
/ Library文件夹中还有另一个非Apple boms / plists的Receipts文件夹!
可能还有更多方法可以检查文件是否合法,我稍后将尝试添加。
我还在运行macOS 10.13.1(High Sierra)的MacBook Pro上看到了/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg程序包。
$ sw_vers
ProductName: Mac OS X
ProductVersion: 10.13.1
BuildVersion: 17B1003
$ cd /usr/local/remotedesktop
$ /bin/ls -la
total 0
drwxr-xr-x 3 root wheel 96 Nov 14 10:34 .
drwxr-xr-x 11 root wheel 352 Dec 14 15:19 ..
drwxr-xr-x 3 root wheel 96 Feb 14 2017 RemoteDesktopChangeClientSettings.pkg
我于11月14日升级到High Sierra。
使用pkgutil检查签名,我发现该程序包已由不受信任的证书签名:
$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
Status: signed by untrusted certificate
Certificate Chain:
1. Software Signing
SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
-----------------------------------------------------------------------------
2. Apple Code Signing Certification Authority
SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
-----------------------------------------------------------------------------
3. Apple Root CA
SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60
在尝试打开包装时,我看到以下警告:
当我单击“显示证书”按钮时,我看到证书已过期:
因此,建议不要安装此版本的RemoteDesktopChangeClientSettings.pkg软件包:-)
它绝对是Apple的组件。即使在尝试卸载Remote Desktop.app之后,它仍然存在,所以我猜想它可能是操作系统安装的东西。
我向Apple Bugs提出了一个问题,因为/ usr / local应该在用户的控制之下,并且那里永远不会安装任何OS文件。
我删除了/ usr / local / remotedesktop文件夹,因为该文件夹很丑陋,但不确定,它可能会以某种方式破坏远程桌面。希望下一次操作系统更新可以解决此问题,并且不再将文件放在/ usr / local中。