Dziwny folder zdalny w usr / local - bezpieczny?

16

Podczas czyszczenia starych plików na komputerze Mac (MacOS 10.12.4, zaktualizowałem kilka dni temu) właśnie odkryłem dziwny plik, o którym nie mogłem znaleźć żadnych informacji.

W usr/localznajduje się folder o nazwie remotedesktopz RemoteDesktopChangeClientSettings.pkgplikiem wewnątrz.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Chociaż wiem, że klienci pulpitu zdalnego mają wiele uzasadnionych przypadków użycia, trochę się martwię, skąd to się bierze, ponieważ nigdy nie korzystałem z nich na tym komputerze.

Czy ten plik jest zwykłą częścią systemu operacyjnego lub umieszczonym tam plikiem dostawcy? Czy powinienem spróbować to otworzyć?

macos sierra remote-desktop Sven
źródło

Odpowiedzi:

15

Aby ustalić pochodzenie, masz pod ręką kilka narzędzi:

  • Podpisywanie kodu Sprawdź podpisywanie kodu aplikacji / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg

    Daje to:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
Format=installer package bundle
CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
Hash type=sha1 size=20
CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Hash choices=sha1
CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
Signature size=4072
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Info.plist entries=24
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=21
Internal requirements count=1 size=96

    Wydaje się uzasadniony i (w porównaniu z innymi aplikacjami) od samego Apple. Jeśli aplikacja / pkg została podpisana przez inną firmę, przynajmniej jedna z linii Urzędu wskazywałaby innego dostawcę / programistę.

  • Sprawdź pliki BOM paragonu:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"

    co prawdopodobnie da:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches

    Sprawdź odpowiedni plik plist, a otrzymasz pakiet instalatora: RemoteDesktopClient 3.9.2. Wydaje się również legalne Apple. Teraz możesz lsbom ...plik. Zobaczyć man lsbom.

    Drugi Wpływy Folder z LM innych niż Apple / listy właściwości znajduje się w folderze / Library!

Prawdopodobnie istnieje więcej metod sprawdzania, czy plik jest prawidłowy, czy nie, które spróbuję dodać później.

klanomath
źródło
Wow, dziękuję za tę niesamowitą odpowiedź! Nie tylko odczuwam ulgę, że plik jest prawidłowy, ale cieszę się również, że mogę się czegoś nauczyć - określenie źródła pliku może czasem być dla mnie naprawdę ważne.
Sven
1

Widzę również pakiet /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg na moim MacBooku Pro z systemem macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Uaktualniłem do High Sierra 14 listopada.

Sprawdzam podpis przy użyciu pkgutil, widzę, że pakiet został podpisany przez niezaufany certyfikat:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Podczas próby otwarcia pakietu widzę to ostrzeżenie: ostrzeżenie o nieważnym certyfikacie

Po kliknięciu przycisku Pokaż certyfikat widzę, że certyfikat wygasł: wygasł certyfikat

Prawdopodobnie nie zaleca się instalowania tej wersji pakietu RemoteDesktopChangeClientSettings.pkg :-)

Rohan Talip
źródło
0

To zdecydowanie komponent Apple. Pozostało nawet po próbie odinstalowania aplikacji Remote Desktop.app, więc zgaduję, że jest to coś, co mógł być zainstalowany system operacyjny.

Złożyłem problem z Apple Bugs, ponieważ / usr / local ma być pod kontrolą użytkownika i nigdy nie powinny tam być zainstalowane żadne pliki systemu operacyjnego.

Usunąłem mój folder / usr / local / remotedesktop, ponieważ jest tam brzydko, ale może w jakiś sposób uszkodzić Pulpit zdalny, nie jestem pewien. Mam nadzieję, że następna aktualizacja systemu operacyjnego może rozwiązać problem i nie umieszczać już plików w / usr / local.

Eduard Rozenberg
źródło
Witamy w Zapytaj inaczej. Powstrzymaj się od dodawania komentarzy w sekcji Odpowiedź. To jest tylko odpowiedzi na pytania. Jeśli masz inne pytanie, możesz je zadać, klikając Zadaj pytanie . Możesz także dodać nagrodę za zwrócenie większej uwagi na to pytanie, gdy będziesz mieć wystarczającą reputację . Zobacz Jak pytać, aby uzyskać więcej informacji na temat zadawania pytań. - Z recenzji
fsb