GateKeeper cho phép tôi cài đặt mọi thứ, không có kiểm tra nào được thực hiện

Tôi có thể tải xuống các ứng dụng từ các trang web tùy chỉnh và chạy chúng, ngay cả khi cài đặt gatekeeper của tôi ở "Chỉ AppStore". Đây là ứng dụng của tôi - nó thậm chí không được ký.

Điều gì có thể là lý do cho điều đó? Tôi có thể tái tạo hành vi này trên cả 3 máy Mac của mình.

Đây là một tính năng theo trạng thái thiết kế trong đó người dùng quản trị viên luôn có thể ghi đè Gatekeeper và mở Ứng dụng bằng cách nhấp chuột phải vào ứng dụng trong Finder.

Người dùng quản trị cũng có thể thay đổi cài đặt Gatekeeper hoặc vô hiệu hóa hoàn toàn, do đó, không có hại thực sự (ít nhất là trong mắt tôi) khi trình bày hộp thoại danh sách trắng một lần để đảm bảo người dùng quản trị dự định cho phép không tuân thủ (không được ký hoặc ứng dụng không phải là Mac App Store) để chạy.

Bây giờ nếu bạn tìm được cách để người dùng không phải quản trị viên vượt qua Gatekeeper, thì tôi sẽ mong đợi nộp lỗ hổng bảo mật với Apple để nhận tín dụng cho việc tìm lỗ hổng khi họ vá bất kỳ lỗi triển khai nào để cho phép chạy ứng dụng chính sách.

Apple ghi lại tính năng này một cách sâu sắc về cách liệt kê rõ ràng một ứng dụng.

• OS X: Giới thiệu về Gatekeeper

Gatekeeper không bảo vệ phần mềm độc hại và không phải là một danh sách đen. Đó là một tập hợp các chính sách cho phép khởi chạy lần đầu tiên các ứng dụng được ký hợp lệ và xác thực các biên lai của cửa hàng Mac App. Nếu người dùng quản trị khởi chạy một cách rõ ràng và sau đó chấp thuận cho chạy phần mềm không tuân thủ, bạn có vấn đề về giáo dục hoặc chính sách trái ngược với việc phát hiện ra một số lỗ hổng trong Gatekeeper.

Cụ thể, tôi đã tóm tắt (và chủ yếu là sao chép) các phần có liên quan của trợ giúp của Apple về danh sách trắng bất kỳ Ứng dụng nào để Gatekeeper sẽ cho phép nó chạy không bị cản trở và không bị ảnh hưởng:

Cách mở ứng dụng từ nhà phát triển không xác định và miễn trừ khỏi Gatekeeper

Nếu bạn tự tin ứng dụng được tải xuống từ Internet là phiên bản mới nhất và là từ một nguồn mà bạn tin tưởng, bạn có thể mở một ứng dụng từ một nhà phát triển không xác định bằng cách làm theo các bước sau.

Quan trọng: Một số ứng dụng được sàng lọc của Apple từ các nhà phát triển đang trong quá trình lấy chữ ký ID nhà phát triển sẽ hiển thị tùy chọn "Mở" khi chúng được nhấp đúp.

Lưu ý: Trong hầu hết các trường hợp, bạn sẽ chỉ phải thực hiện các bước này một lần cho tất cả tài khoản người dùng trên máy Mac:

• Trong Finder, Nhấp chuột phải hoặc nhấp chuột phải vào biểu tượng của ứng dụng.
• Chọn Mở từ trên cùng của menu ngữ cảnh xuất hiện.
• Bấm Mở trong hộp thoại. Nếu được nhắc, hãy nhập tên quản trị viên và mật khẩu.

Lưu ý: Nếu có một ứng dụng trình bày nhiều hộp thoại Gatekeeper, bạn có thể tạm thời sử dụng tùy chọn "Luôn luôn" của Gatekeep. Đảm bảo khôi phục tùy chọn Gatekeeper đã có trước đó để đưa chức năng Gatekeeper trở lại.

Bạn có thể dễ dàng kiểm soát ai có thể liệt kê danh sách trắng Ứng dụng bằng cách không cung cấp tên người dùng và mật khẩu của Quản trị viên cho người dùng không biết chức năng này và bạn cũng có thể quản lý người gác cổng từ thiết bị đầu cuối hoặc trình quản lý hồ sơ và phần mềm cài đặt được quản lý khác như Casper từ JAMF. Bạn cũng có thể kiểm tra máy của mình để tìm phần mềm được liệt kê màu trắng để định kỳ đặt lại danh sách các ứng dụng được phép và xác định ai đang thực hiện chức năng này trong trường hợp bạn muốn thay đổi chính sách và thói quen.

Tải xuống tệp qua SMB sẽ không kích hoạt cách ly và vì ứng dụng không được cách ly nên chính sách của người gác cổng không bao giờ được kiểm tra. Tôi không chắc tại sao nó bị đánh dấu là cách ly trên các máy tính khác của bạn ...

Để kiểm tra cách ly tại bất kỳ điểm nào, hãy sử dụng ls -ld@lệnh để tìm thuộc tính com.apple.quarantine:

$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon  staff  102 Apr 30  2012 /Applications/TextWrangler.app
    com.apple.FinderInfo     32 
    com.apple.quarantine     57 

Nếu thuộc tính kiểm dịch đó được đính kèm với ứng dụng, chính sách người gác cổng sẽ được kiểm tra; nếu không, nó sẽ không. Câu hỏi thú vị là tại sao nó bị cách ly trên các máy tính khác của bạn và nếu bạn sử dụng lệnh này để kiểm tra ứng dụng tại nhiều điểm khác nhau khi bạn phân phối nó, bạn có thể tìm ra khi thuộc tính được gắn vào (và do đó tại sao nó bị dính vào).

EDIT: Có một lưu ý liên quan đến vấn đề này trong phần "Nhấp vào đây để biết thêm chi tiết" trong bài viết KB của Apple # HT5290 :

Quan trọng: Chữ ký ID nhà phát triển áp dụng cho các ứng dụng được tải xuống từ Internet. Các ứng dụng từ các nguồn khác, chẳng hạn như máy chủ tệp, ổ đĩa ngoài hoặc đĩa quang được miễn trừ, trừ khi các ứng dụng ban đầu được tải xuống từ Internet.

Nếu bạn đã bật tùy chọn ẩn này, nó cũng vô hiệu hóa Gatekeeper:

defaults write com.apple.LaunchServices LSQuarantine -bool false

Hoặc OS X cho phép mở tất cả các ứng dụng bất kể cài đặt trong Tùy chọn hệ thống.

Gatekeeper ngăn các ứng dụng chạy bằng cách nhấp đúp, nhưng bạn luôn có thể ghi đè lên nó bằng cách chọn Mở từ menu ngữ cảnh.

Nếu bạn có thể chạy các ứng dụng chưa được tải xuống bằng cách nhấp đúp, đây là sự cố với Gatekeeper. Các tệp lưu trữ trạng thái kiểm dịch của chúng trong một thuộc tính mở rộng được gọi là com.apple.quarantine . Nếu thuộc tính này bị xóa vì một số lý do từ các tệp đã tải xuống của bạn, Gatekeeper sẽ coi các tệp đã tải xuống không khác với bất kỳ tệp nào khác trên máy tính của bạn. Vì vậy, tôi khuyên bạn nên tải xuống một chương trình và sau đó sử dụng xattr -l filenametrong Terminal sẽ là một công cụ chẩn đoán tốt nếu bạn đã cài đặt Xcode.

Nếu bạn chạy chúng thông qua lệnh Open từ menu, đây là hành vi được thiết kế. Lưu ý rằng một khi bạn đã chạy một chương trình từ menu, nó sẽ được kích hoạt mãi mãi bằng cách nhấp đúp, bất kể cài đặt Gatekeeper của bạn.