Strana cartella remotedesktop in usr / local - sicura?


16

Durante la pulizia di vecchi file sul mio Mac (macOS 10.12.4, dopo aver aggiornato alcuni giorni fa) ho appena scoperto un file strano su cui non sono riuscito a trovare alcuna informazione.

In usr/local, c'è una cartella chiamata remotedesktopcon un RemoteDesktopChangeClientSettings.pkgfile all'interno.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Mentre so che i client desktop remoti hanno molti casi d'uso legittimi, sono un po 'preoccupato da dove provenga, dal momento che non ho mai usato nessuno su questa macchina.

Questo file è una parte normale del sistema operativo o un file del fornitore che è stato inserito lì? Dovrei provare ad aprirlo?

Risposte:


15

Per determinare l'origine hai diversi strumenti a portata di mano:

  • Firma del codice. Controlla la firma del codice dell'app / pkg:

    codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
    

    Ciò produce quanto segue:

    Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
    Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
    Format=installer package bundle
    CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
    Hash type=sha1 size=20
    CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Hash choices=sha1
    CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
    Signature size=4072
    Authority=Software Signing
    Authority=Apple Code Signing Certification Authority
    Authority=Apple Root CA
    Info.plist entries=24
    TeamIdentifier=not set
    Sealed Resources version=2 rules=12 files=21
    Internal requirements count=1 size=96
    

    Sembra legittimo e (confrontandolo con altre app) dalla stessa Apple. Se l'app / pkg è stata firmata da un'altra società, almeno una delle righe dell'Autorità mostrerebbe un fornitore / sviluppatore diverso.

  • Controlla i file bom della ricevuta:

    grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
    

    che probabilmente produrrà:

    Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
    

    Controlla il file plist corrispondente e otterrai il pacchetto di installazione: RemoteDesktopClient 3.9.2. Sembra anche Apple legittimo. Ora puoi lsbom ...il file. Vedere man lsbom.

    Un secondo Ricevute cartella con distinte base non-Apple / plists si trova nella cartella / Library!


Probabilmente ci sono altri metodi per verificare se il file è legittimo o meno, che proverò ad aggiungere in seguito.


Wow, grazie per questa fantastica risposta! Non solo sono sollevato dal fatto che il file sia legittimo, ma sono anche felice di avere qualcosa di nuovo da imparare: determinare la fonte di un file a volte può essere davvero importante per me.
Sven,

1

Vedo anche un pacchetto /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg sul mio MacBook Pro con macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Ho effettuato l'aggiornamento a High Sierra il 14 novembre.

Controllando la firma usando pkgutil, vedo che il pacchetto è stato firmato da un certificato non attendibile:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Nel tentativo di aprire il pacchetto, vedo questo avviso: avviso certificato non valido

Quando faccio clic sul pulsante Mostra certificato, vedo che il certificato è scaduto: certificato scaduto

Quindi, probabilmente non è consigliabile installare questa versione del pacchetto RemoteDesktopChangeClientSettings.pkg :-)


0

È sicuramente un componente Apple. È rimasto anche dopo che ho provato a disinstallare Remote Desktop.app, quindi suppongo sia qualcosa che il sistema operativo potrebbe aver installato.

Ho presentato un problema con Apple Bugs poiché / usr / local è pensato per essere sotto il controllo dell'utente e non dovrebbero mai esserci file OS installati lì.

Ho eliminato la mia cartella / usr / local / remotedesktop poiché è brutta averlo lì, ma potrebbe rompere il desktop remoto in qualche modo, non sono sicuro. Sperando che il prossimo aggiornamento del sistema operativo possa risolvere il problema e non inserire più i file in / usr / local.


Benvenuti a chiedere diverso. Non aggiungere commenti nella sezione Risposta. Questo è solo per le risposte alle domande. Se hai una domanda diversa, puoi farla facendo clic su Poni domanda . Puoi anche aggiungere una taglia per attirare più attenzione a questa domanda una volta che hai abbastanza reputazione . Vedi Come richiedere maggiori informazioni su come porre una domanda. - Dalla recensione
fsb,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.