що таке група access_bpf?

27

Хто-небудь знає, що таке група "access_bpf". Я помітив це, коли зайшов у Налаштування> Користувачі та групи.

Я провів обшук і виявив, що це має щось спільне з Wireshark, однак я не встановив програму на своєму Mac, тому я занадто впевнений, як додалася група.

wireshark 
Андрій
джерело
2
хороший пошук :) Wireshark - це той, хто робить цю групу. Оскільки ви не пам’ятаєте його встановити, можливо, це був хтось інший.
Ruskes

Відповіді:

27

Інсталятор Wireshark налаштовує вашу систему, щоб користувач, який здійснює встановлення, міг захоплювати мережевий трафік без того, щоб програма захоплення повинна запускатися як root.

Це робиться так:

  • створити access_bpfгрупу;
  • помістити користувача в цю групу;
  • встановіть StartupItem (у старих версіях) або демон запуску (у новіших версіях), який під час завантаження системи змінює дозволи пристроїв BPF на rw-rw --- і власник групи пристроїв BPF на access_bpf;
  • домовляється про те, що в цей час запускається демон StartupItem / start.

Зауважте, BTW, що це також дозволяє захоплювати трафік за допомогою Wireshark (або програми TShark або dumpcap від Wireshark), не запускаючи їх як корінь, це також дозволяє захоплювати трафік за допомогою tcpdump, не запускаючи його як root.

10

Інсталятор для Wireshark створить групу access_bpf! або у вашому випадку хто знає :)

Оскільки ви не пам’ятаєте про встановлення та не використовуєте його, тоді просто видаліть його.

Щоб видалити Wireshark зі своєї машини, знайдіть наступні файли на своєму Mac та видаліть їх, якщо вони є:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Також видаліть групу access_bpf

Рускес
джерело
8

Перейдіть до Налаштування системи -> Користувачі та групи -> Розблокуйте його як адміністратор -> відкрийте поле Групи під Користувачами -> виберіть та видаліть.

Або через термінал з

sudo dscl . -delete /Groups/access_bpf
леон
джерело
Так, але ви не відповідали на запитання, тобто для чого це група ... Хоча й інші.
Мотті Шнеор
Ти правий. Це мав бути коментарем до способу видалення, а не відповіддю. У будь-якому випадку, в моєму первісному дописі було зазначено, що це відповідь на попередній плакат, але він редагувався багато і двічі. Зробити це все зрозуміліше.
леон
1

Це також може бути залишком вас, який потрапив у привід Java напад зловмисних програм.

У цьому випадку бот отримає кореневий доступ, створить гостьовий рахунок (можливо, прихований колодязь) і почне переглядати ваші брелоки.

якщо ви бачите mitmproxy під certs, негайно зателефонуйте в яблуко чи інший надійний контакт служби підтримки.

вони розмовляли зі мною по телефону так, ніби вони ніколи не чули про цю проблему.

той факт, що MacOS не є ідеальним. якщо вам все-таки потрібна допомога, сміливо пишіть.

часті
джерело
1
Спасибі за відповіді. Зловмисне програмне забезпечення часто маскує речі із загальними чи очікуваними іменами. Я трохи відредагував. Ви можете розглянути звіт "вони не чули". Звичайно, професійна підтримка не збирається розголошувати вам звіти інших людей, вони зосереджуються на вашій проблемі і тільки на ваших. Як ви вже показали, будь-яке одне речення, яке вони говорять, часто публікується публічно без контексту тривалої розмови, тому вони також намагаються дотримуватися фактів, знаючи, що вони можуть бути завтра на головній сторінці Reddit.
bmike
0

Ця група також буде створена шляхом встановлення Debookee, інструментального аналізатора мережевого трафіку для macOS, який використовує вбудований Wireshark.

https://debookee.com

Gummibando
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.