Странная папка remotedesktop в usr / local - безопасно?

16

Выполняя некоторую очистку старых файлов на моем Mac (macOS 10.12.4, обновив несколько дней назад), я обнаружил странный файл, о котором не смог найти никакой информации.

В usr/local, есть папка remotedesktopс RemoteDesktopChangeClientSettings.pkgфайлом внутри.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Хотя я знаю, что клиенты удаленного рабочего стола имеют много законных вариантов использования, я немного волнуюсь, откуда это исходит, так как я никогда не использовал их на этом компьютере.

Является ли этот файл обычной частью операционной системы или файла поставщика, который был там размещен? Должен ли я попробовать и открыть его?

Sven
источник

Ответы:

15

Чтобы определить происхождение, у вас есть несколько инструментов под рукой:

  • Подписание кода. Проверьте подпись кода приложения / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Это дает следующее:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Кажется законным и (сравнивая его с другими приложениями) от самого Apple. Если приложение / pkg было подписано другой компанией, то по крайней мере на одной из строк Authority будет указан другой поставщик / разработчик.

  • Проверьте файлы квитанции квитанции:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    что, вероятно, даст:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Проверьте соответствующий файл plist, и вы получите пакет установщика: RemoteDesktopClient 3.9.2. Кажется также законным Apple. Теперь вы можете lsbom ...файл. См man lsbom.

    А вторые Квитанции папки с неяблоком спецификациями / plists находится в папке / Library!


Вероятно, есть еще несколько способов проверить, является ли файл легальным или нет, который я попытаюсь добавить позже.

klanomath
источник
Вау, спасибо за этот удивительный ответ! Я не только рад тому, что файл легитимен, но и счастлив узнать что-то новое - определение источника файла иногда может быть очень важным для меня.
Свен
1

Я также вижу пакет /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg на моем MacBook Pro под управлением macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Я перешел на Высшую Сьерру 14 ноября.

Проверяя подпись с помощью pkgutil, я вижу, что пакет был подписан ненадежным сертификатом:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

При попытке открыть пакет я вижу это предупреждение: предупреждение о недействительном сертификате

Когда я нажимаю кнопку Показать сертификат, я вижу, что срок действия сертификата истек: истек срок действия сертификата

Поэтому, вероятно, не рекомендуется устанавливать эту версию пакета RemoteDesktopChangeClientSettings.pkg :-)

Рохан Талип
источник
0

Это определенно компонент Apple. Это осталось даже после того, как я попытался удалить мой Remote Desktop.app, так что я предполагаю, что это то, что, возможно, установлена ​​ОС.

Я подал проблему с Apple Bugs, поскольку предполагается, что / usr / local находится под контролем пользователя и там не должно быть никаких файлов ОС.

Я удалил папку / usr / local / remotedesktop, так как она там уродливая, но может каким-то образом сломать удаленный рабочий стол, не уверен. Надежда на следующее обновление ОС может решить проблему и больше не помещать файлы в / usr / local.

Эдуард Розенберг
источник
Добро пожаловать, чтобы спросить другого. Пожалуйста, воздержитесь от добавления комментариев в разделе Ответ. Это только для ответов на вопросы. Если у вас есть другой вопрос, вы можете задать его, нажав Задать вопрос . Вы также можете добавить вознаграждение, чтобы привлечь больше внимания к этому вопросу, когда у вас будет достаточно репутации . См. Как спросить для получения дополнительной информации о том, как задать вопрос. - Из обзора
ФСБ