что такое группа access_bpf?

27

Кто-нибудь знает, что такое группа "access_bpf"? Я заметил это, когда зашел в «Настройки»> «Пользователи и группы».

Я искал и обнаружил, что это как-то связано с Wireshark, однако я не установил программу на свой Mac, поэтому я слишком уверен, как группа была добавлена.

wireshark Эндрю
источник
2
хороший поиск :) Wireshark - это та группа, которая создала эту группу. Поскольку вы не помните, чтобы установить его, это мог быть кто-то еще.
Рускес

Ответы:

27

Установщик Wireshark настраивает вашу систему таким образом, чтобы пользователь, выполняющий установку, мог захватывать сетевой трафик без запуска программы захвата от имени пользователя root.

Это делается для того, чтобы:

  • создать access_bpfгруппу;
  • поместить пользователя в эту группу;
  • установить StartupItem (в более старых версиях) или демон запуска (в более новых версиях), который при загрузке системы изменяет разрешения для устройств BPF на rw-rw ---, а для владельца группы устройств BPF - access_bpf;
  • организует запуск демона StartupItem / launch в это время.

Обратите внимание, что это также позволяет вам захватывать трафик с помощью Wireshark (или программ Wirehark TShark или dumpcap) без необходимости запускать их как root, он также позволяет вам захватывать трафик с помощью tcpdump без необходимости запускать его как root.


источник
10

Установщик для Wireshark создаст группу access_bpf! или в твоем случае кто знает :)

Поскольку вы не помните установку и не используете ее, просто удалите ее.

Чтобы удалить Wireshark с вашего компьютера, найдите следующие файлы на вашем Mac и удалите их, если они существуют:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Также удалите группу access_bpf

Ruskes
источник
8

Перейдите в Системные настройки -> Пользователи и группы -> Разблокируйте его как Администратор -> откройте поле Группы в разделе Пользователи -> выберите и удалите.

Или через терминал с

sudo dscl . -delete /Groups/access_bpf
Леон
источник
Да, но вы не ответили на вопрос, то есть, для чего эта группа ... Хотя другие так и сделали.
Мотти Шнеор
Вы правы. Это должен был быть комментарий к способу удаления, а не ответ. Во всяком случае, мой оригинальный пост упоминал, что это был ответ на предыдущий постер, но он был отредактирован много раз и дважды. Делая это более ясным, все же.
Леон
1

Это также может быть причиной того, что вы подверглись атаке вредоносных программ с помощью Java-диска.

В этом случае бот получит root-доступ, создаст гостевую учетную запись (возможно, хорошо спрятанную) и начнет просматривать цепочки для ключей.

Если вы видите mitmproxy в разделе «Сертификаты», немедленно позвоните в Apple или другой надежный контакт поддержки.

они говорили со мной по телефону, как будто они никогда не слышали о проблеме.

факт остается фактом, что MacOS не идеален. если вам все еще нужна помощь, не стесняйтесь писать.

частый
источник
1
Танис за ответ. Вредоносные программы часто маскируют вещи общими или ожидаемыми именами. Я немного отредактировал. Вы можете рассмотреть отчет «они не слышали». Конечно, профессиональная поддержка не будет раскрывать вам отчеты других людей, они сосредоточены на вашей проблеме и только на вас. Как вы показали, любое одно предложение, которое они говорят, часто публикуется без контекста более длительного разговора, поэтому они также стараются придерживаться фактов, зная, что они могут появиться на первой странице Reddit завтра.
bmike
0

Эта группа также будет создана путем установки Debookee, встроенного в MacOS инструмента анализа сетевого трафика, в котором используется встроенный Wireshark.

https://debookee.com

Gummibando
источник