Mac上的Gatekeeper系统跟运行时保护

已于 2024-03-27 22:45:39 修改
阅读量1.3k 收藏 8
点赞数 25
分类专栏: MacOS 文章标签: macos Gatekeeper quarantine 无法验证开发者 xattr
于 2024-03-27 21:06:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzy0754/article/details/137089188
版权

文章目录

问题:无法打开“xxx.xxx”,因为无法验证开发者。macOS无法验证此App是否包含恶意软件。

之前升级了macos后,就遇到了上面的问题。这里根本原因是Macos上Gatekeeper系统的特性,以防止用户无意识地执行恶意软件。
在这里插入图片描述

如何解决?

com.apple.quarantine是苹果(macOS)上的一个文件系统标记(Attribute),它表示文件是从Internet下载的或由邮件附件接收的。这个标记用于Gatekeeper系统,这是Mac操作系统的一个安全特性,以防止用户无意识地执行恶意软件。

此标签存于文件的拓展属性(Extended Attribute)中,并带有一些值,包括:

  1. 下载时间的时间戳
  2. 下载应用程序的标识
  3. URL,从该URL下载了文件

你可以通过xattr命令来查看或修改文件的com.apple.quarantine标志:

  • 查看文件的com.apple.quarantine属性:
    xattr -l <文件名>
  • 清除文件的com.apple.quarantine属性:
    xattr -d com.apple.quarantine <文件名>
  • 清除目录下所有文件的com.apple.quarantine属性:
     xattr -r -d com.apple.quarantine <目录名>

清除了com.apple.quarantine属性之后就可以正常使用了。
另外,也可以通过ls -al@查看文件的属性,我们从下面的结果也可以看出,有拓展属性的话,文件的权限位会多出一个@。

ls -al@

total 264088
drwxr-xr-x@  5 user  staff        160  3 27 11:54 .
	com.apple.macl	       72 
	com.apple.quarantine	       21 
drwx------@ 57 user  staff       1824  3 27 11:54 ..
	com.apple.macl	      216 
-rw-r--r--@  1 user  staff       6148  3 27 11:54 .DS_Store
	com.apple.FinderInfo	       32 
drwxr-xr-x  14 user  staff        448  3 27 11:54 a_directory
-rw-r--r--@  1 user  staff  118796235  3 27 11:54 a_file
	com.apple.metadata:kMDItemWhereFroms	      247 
	com.apple.quarantine	       21

参考资料

https://support.apple.com/zh-cn/guide/security/sec5599b66df/web

macOS 提供门禁技术和运行时保护以帮助确保仅受信任的软件可在用户的 Mac 上运行。

门禁

macOS 包括一项称为门禁的安全技术,其设计旨在帮助确保仅受信任的软件可在用户的 Mac 上运行。当用户从 App Store 之外的地方下载并打开 App、插件或安装器软件包时,门禁会验证该软件是否来自可识别的开发者、经过 Apple 公证不含已知的恶意内容且未被修改。在首次打开下载的软件之前,门禁还会请求用户批准,以确保用户没有被诱骗运行他们认为只是数据文件的可执行代码。

默认情况下,门禁会帮助确保所有下载的软件已由 App Store 签名,或者由已注册的开发者签名且经过 Apple 公证。App Store 审核过程和公证流程均旨在确保 App 不含已知的恶意软件。因此,默认情况下,macOS 中的所有软件在首次打开时都会检查是否包含已知的恶意内容,无论它以何种方式安装到 Mac 上。

用户和组织可以选择仅允许从 App Store 安装软件。另外,用户可以忽略门禁策略以打开任意软件,除非受到移动设备管理 (MDM) 解决方案的限制。组织可以使用 MDM 配置“门禁”设置,包括允许使用备用身份签名的软件。如果需要,也可以完全停用门禁。

门禁还可防止在分发安全 App 时包含恶意插件。此处指使用 App 时在用户不知情的情况下触发恶意插件加载。必要时,门禁会从随机的只读位置打开 App。这旨在防止自动加载与 App 一起分发的插件。

运行时保护

系统文件、资源和内核与用户的 App 空间保持隔离。App Store 中的所有 App 均已经过沙盒化,以限制访问其他 App 储存的数据。如果来自 App Store 的 App 需要访问其他 App 的数据,则只能使用 macOS 提供的 API 和服务来进行访问。

EngZegNgi
关注
  • 25
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
gatekeeper:Gatekeeper是用于与AWS Secrets Manager中的机密进行交互的开源系统
04-29
加特基珀 Gatekeeper是一个开放源代码系统,用于与进行交互; 提供创建和泄露机密的基本机制。 开始使用Gatekeeper -Linux,MacOS和Windows 请下载适合您的操作系统和体系结构的软件包。 您可以在找到Gatekeeper的,并且可以验证已使用AXOE的GPG密钥签名的校验和签名文件。 概述 Gatekeeper建立在并利用命令,自变量和标志的结构。 它支持完全兼容POSIX的标志(包括短版和长版) 要求 Gatekeeper使用环境变量 指令 列出特定区域中的机密: gatekeeper ls --region eu-west-2 得到-获得秘密的价值: gatekeeper get --secret nameofsecret --region eu-west-2 添加-添加新的机密: gatekeeper add --name nameofsec
gatekeeper-ui:Gatekeeper访问控制系统的Web界面
05-12
网闸用户界面 该项目为基于角色的访问控制项目提供了Web前端。 它使您可以轻松管理系统的用户,组和权限。 该用户界面目前仍在开发中,但Gatekeeper是一种经过良好开发,经过良好测试的RBAC解决方案,可以立即使用。 安装 @去做
gatekeeper:首个开源DDoS保护系统
03-11
关守 什么是网守? Gatekeeper是第一个开源的DoS保护系统。 它旨在扩展到任何峰值带宽,因此可以抵抗当今和未来的DoS攻击。 尽管Gatekeeper具有地理上分散的体系结构,但是描述必须对传入流量执行的所有决策的网络策略是集中的。 这种集中化的策略使网络运营商能够利用在非常高的延迟下不可行的分布式算法(例如分布式数据库),并立即应对多种多向量DoS攻击。 Gatekeeper的目标用户是机构,服务和内容提供商,企业网络等的网络运营商。它不打算由单个Internet用户使用。 有关更多信息,请参见 。 如何设定 配置大页面 DPDK需要使用大页面; 中提供了有关安装大页面的。 在许多系统上,下面的大页面设置就足够了: $ echo 256 | sudo tee /sys/kernel/mm/hugepages/hugepages-2048kB/nr_hugepages 选
xattr:XATTR的水晶绑定
02-04
xattr:XATTR的水晶绑定
gatekeeper-policy-manager:一个易于使用的基于Web的Gatekeeper策略管理器
04-27
网守策略管理器(GPM) Gatekeeper Policy Manager是一个简单的只读Web UI,用于查看Kubernetes集群中的OPA Gatekeeper策略的状态。 它可以显示所有定义的约束模板及其rego代码,以及所有约束及其当前状态,违规,强制措施,匹配定义等。 要求 您将需要在集群中运行OPA Gatekeeper,并且至少需要定义一些约束模板和约束才能利用此工具。 :information: 您可以使用模块(也是开源的)轻松地将Gatekeeper部署到您的集群。 部署GPM 要将Gatekeeper策略管理器部署到您的群集,请运行以下命令应用提供的kustomization文件: kubectl apply -k . 默认情况下,这将在gatekeeper-system名称空间中创建一个名称为gatekeper-policy-manager的部署和服务。 我们邀请您看一下
Mac尚未修补的Gatekeeper漏洞 恐让黑客有机可趁
chengyou2471的博客
06-27 159
安全业者Intego本周指出,有一个新的Mac恶意软件OSX/Linker试图利用Apple未修补的Gatekeeper漏洞。尽管OSX/Linker目前正在检测它是否可以危及漏洞,但黑客可能随时都在远端把它变成真正的恶意软件。 今年5月意大利安全研究员Filippo Cavallarin透...
苹果修复 Gatekeeper 绕过漏洞
smellycat000的专栏
12-24 402
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果公司修复了一个 macOS 漏洞CVE-2021-30853。基于脚本的未签名和未授权应用可利用该漏洞绕过所有 macOS 安全防御...
Mac电脑升级到macOS Sierra后“任何来源”从Gatekeeper消失的解决办法
sc_valentine21的专栏
10-10 2470
转自:http://www.isofts.org/macos-sierra-gatekeeper/?utm_source=tuicool&utm_medium=referral 相信很多童鞋已经将自己的mac电脑升级到了最新的macOS Sierra操作系统,这时候肯定会有很多用户发现:Gatekeeper中的“任何来源”一项无法找到了, 如上图所示,在“系统偏好设置-安全性与
如何在macOS 中让Gatekeeper在任何地方允许应用程序
weixin_43905212的博客
04-12 1317
如何在macOS 中让Gatekeeper在任何地方允许应用程序 参考连接 在终端中输入 sudo spctl --master-disable 然后打开系统偏好设置中的安全和隐私进行查看 你也可以在终端中输入以下代码来恢复设置 sudo spctl --master-enable ...
gatekeeper-operator:OPA Gatekeeper的操作员
04-01
安装要安装Gatekeeper Operator,您可以在集群外部运行它,以便在开发过程中更快地进行迭代,也可以在集群内部运行它。 但是首先我们需要安装操作员CRD: make install 然后,继续执行下面您喜欢的安装方法。集群外...
2024免费mac苹果电脑系统电脑管家CleanMyMac X
qq_48396513的博客
12-14 400
macOS已经成为最受欢迎的桌面操作系统之一,它提供了直观、简洁的用户界面,使用户可以轻松使用和管理系统macOS拥有丰富的应用程序生态系统;还可以与其他苹果产品和服务紧密协作,如iPhone、iPad,用户可以通过iCloud同步和共享文件、照片、联系人等,实现无缝的跨设备体验。
2024-在 macOS 上禁用 Gatekeeper
itwangyang520的博客
03-30 654
GatekeepermacOS 操作系统的一项安全功能。它验证只有受信任的软件才能在您的 Mac 上运行。如果正在启动的软件已更改,用户将收到有关损坏的消息…如果不禁用 Gatekeeper 功能或绕过隔离功能(通常该过程称为 Dequarantine 或 de-quarantine),就不可能启动损坏的应用程序。
Mac运行已安装软件提示“XXX 已损坏,打不开。移到废纸篓/推出磁盘映像。”解决方法
QC班长的博客
05-28 9718
最近因需要打算在Mac上安装Windows11双系统,需要绕过Windows11的TPM2.0检测,需要把Windows11的win.install的文件替换成Windows10的win.install文件,然后在打包成IOS镜像文件,下载了一个IOS打包工具AnyToISO,运行时提示:AnyToISO已损坏,打不开。移到废纸篓/推出磁盘映像。 但并非你安装的软件已损坏,而是Mac系统的安全设置问题。可以单独为这款软件打开安全通道。 macOS 中如果安装一些修改版或破解版软件,通过拖拽方式放到 ap
Mac 安装Nodejs
最新发布
飘雪的随笔
04-25 495
简单的说 Node.js 就是运行在服务端的 JavaScript。Node.js 是一个基于 Chrome JavaScript 运行时建立的一个平台。Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境,基于 Google 的 V8 引擎,V8 引擎执行 Javascript 的速度非常快,性能非常好。
Valentina Studio Pro for Mac:强大的数据库管理工具
macw_q的博客
04-22 646
除了基本的数据库管理功能,Valentina Studio Pro还提供了先进的数据库设计工具,支持拖拽式操作,使得数据库设计变得轻而易举。总之,Valentina Studio Pro for Mac是一款功能强大的数据库管理工具,无论是个人用户还是企业用户,都能从中获得高效且便捷的数据库管理体验。Valentina Studio Pro for Mac是一款功能全面、操作高效的数据库管理工具,专为Mac用户设计,旨在帮助用户轻松管理各种类型的数据库。
NCH WavePad for Mac:功能全面的音频编辑利器
macw_q的博客
04-22 462
同时,它还提供了丰富的音频效果,如回声、放大、混响、均衡器和降噪等,帮助用户轻松调整音频的音质和风格。除此之外,WavePad还支持多种音频格式,包括WAV、MP3、VOX、GSM、WMA等,方便用户在不同场合下使用。它集音频录制、编辑、处理和效果添加于一体,为用户提供一站式的音频解决方案。总之,NCH WavePad for Mac是一款功能强大、操作简便的音频编辑软件,无论是音乐制作、语音编辑还是其他音频项目,它都能为用户提供出色的编辑体验。
mac电脑搭建vue项目(下篇)
qq_65537235的博客
04-23 347
(4)把npm全局安装路径改为/usr/local/lib/node_modules,执行以下命令。(2)执行命令cnpm -v查看版本信息,结果说找不到cnpm命令。(3)执行no,回车。然后输入命令安装webpack-cli。(1)执行以下命令安装cnpm淘宝镜像。(7)再次执行查看cnpm版本号的命令。(3)查看npm的全局安装路径。(2)查看webpack版本号。(5)重新安装npm脚手架。第四步:安装webpack。vue项目前期环境安装好了。第五步:安装vue脚手架。(6)重新安装淘宝镜像。
Mac 上可以使用 ping 端口
qq_37194189的博客
04-24 306
Mac 上可以使用 ping 命令来检查与另一台计算机或网络设备的连通性。要 ping 一个端口,你需要使用另一个命令 nc(也称为 netcat)。
gatekeeper和trustzone
08-09
gatekeeper是指在计算机系统中,用于限制用户对系统资源的访问权限的一种软件或硬件机制。它可以作为一个安全门禁,确保只有经过授权的用户可以使用系统资源。这种机制可以帮助保护系统免受未经授权或恶意访问的威胁。通过对用户身份进行验证gatekeeper可以决定是否允许用户访问系统中的敏感数据、配置设置和其他资源。 TrustZone是一种基于硬件的安全技术,用于提供比常规软件安全性更高的保护。它将处理器分为不同的安全域,每个安全域都有自己的内存和处理器资源。TrustZone可以将系统划分为一个安全域和一个非安全域,这样可以确保安全域中的软件和数据不受非安全域的干扰。非安全域运行一般应用程序,而安全域用于运行敏感数据和关键任务的应用程序。 TrustZone可以保护诸如加密密钥、身份验证和数字签名等敏感信息,从而防止未经授权的访问和攻击。它还可以防止恶意软件或操作系统级别的漏洞对敏感数据的访问。TrustZone提供了硬件级别的安全隔离,确保安全域中的软件和数据不会受到来自非安全域的干扰。 综上所述,gatekeeper和TrustZone都是用于提高计算机系统安全性的机制。Gatekeeper通过对用户身份验证和权限控制来限制对系统资源的访问,而TrustZone通过硬件级别的安全域划分和隔离,提供更高级别的安全保护

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值