Dziwny folder zdalny w usr / local - bezpieczny?

Podczas czyszczenia starych plików na komputerze Mac (MacOS 10.12.4, zaktualizowałem kilka dni temu) właśnie odkryłem dziwny plik, o którym nie mogłem znaleźć żadnych informacji.

W usr/localznajduje się folder o nazwie remotedesktopz RemoteDesktopChangeClientSettings.pkgplikiem wewnątrz.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Chociaż wiem, że klienci pulpitu zdalnego mają wiele uzasadnionych przypadków użycia, trochę się martwię, skąd to się bierze, ponieważ nigdy nie korzystałem z nich na tym komputerze.

Czy ten plik jest zwykłą częścią systemu operacyjnego lub umieszczonym tam plikiem dostawcy? Czy powinienem spróbować to otworzyć?

Aby ustalić pochodzenie, masz pod ręką kilka narzędzi:

• Podpisywanie kodu Sprawdź podpisywanie kodu aplikacji / pkg:

  codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
  

  Daje to:

  Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
  Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
  Format=installer package bundle
  CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
  Hash type=sha1 size=20
  CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Hash choices=sha1
  CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Signature size=4072
  Authority=Software Signing
  Authority=Apple Code Signing Certification Authority
  Authority=Apple Root CA
  Info.plist entries=24
  TeamIdentifier=not set
  Sealed Resources version=2 rules=12 files=21
  Internal requirements count=1 size=96
  

  Wydaje się uzasadniony i (w porównaniu z innymi aplikacjami) od samego Apple. Jeśli aplikacja / pkg została podpisana przez inną firmę, przynajmniej jedna z linii Urzędu wskazywałaby innego dostawcę / programistę.

• Sprawdź pliki BOM paragonu:

  grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
  

  co prawdopodobnie da:

  Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
  

  Sprawdź odpowiedni plik plist, a otrzymasz pakiet instalatora: RemoteDesktopClient 3.9.2. Wydaje się również legalne Apple. Teraz możesz lsbom ...plik. Zobaczyć man lsbom.

  Drugi Wpływy Folder z LM innych niż Apple / listy właściwości znajduje się w folderze / Library!

Prawdopodobnie istnieje więcej metod sprawdzania, czy plik jest prawidłowy, czy nie, które spróbuję dodać później.

Widzę również pakiet /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg na moim MacBooku Pro z systemem macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Uaktualniłem do High Sierra 14 listopada.

Sprawdzam podpis przy użyciu pkgutil, widzę, że pakiet został podpisany przez niezaufany certyfikat:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

Podczas próby otwarcia pakietu widzę to ostrzeżenie:

Po kliknięciu przycisku Pokaż certyfikat widzę, że certyfikat wygasł:

Prawdopodobnie nie zaleca się instalowania tej wersji pakietu RemoteDesktopChangeClientSettings.pkg :-)

To zdecydowanie komponent Apple. Pozostało nawet po próbie odinstalowania aplikacji Remote Desktop.app, więc zgaduję, że jest to coś, co mógł być zainstalowany system operacyjny.

Złożyłem problem z Apple Bugs, ponieważ / usr / local ma być pod kontrolą użytkownika i nigdy nie powinny tam być zainstalowane żadne pliki systemu operacyjnego.

Usunąłem mój folder / usr / local / remotedesktop, ponieważ jest tam brzydko, ale może w jakiś sposób uszkodzić Pulpit zdalny, nie jestem pewien. Mam nadzieję, że następna aktualizacja systemu operacyjnego może rozwiązać problem i nie umieszczać już plików w / usr / local.