Дивна папка Remotedesktop у usr / local - безпечно?

Коли я робив чистку старих файлів на своєму Mac (macOS 10.12.4, оновлений кілька днів тому), я просто виявив дивний файл, про який я не міг знайти жодної інформації.

У usr/localпапці є папка remotedesktopз RemoteDesktopChangeClientSettings.pkgфайлом всередині.

drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 remotedesktop
drwxr-xr-x  3 root  wheel  102  6 Mär 20:10 RemoteDesktopChangeClientSettings.pkg

Хоча я знаю, що у клієнтів віддаленого робочого столу є безліч законних випадків використання, я трохи переживаю, звідки це відбувається, оскільки я ніколи не використовував жодного на цій машині.

Цей файл є звичайною частиною ОС або файлом постачальника, який був розміщений там? Чи варто спробувати відкрити його?

Щоб визначити походження, у вас є кілька інструментів:

• Підписання коду. Перевірте підпис коду програми / кг:

  codesign -dv --verbose=4 /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg 
  

  Це дає наступне:

  Executable=/usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg/Contents/Info.plist
  Identifier=com.apple.pkg.RemoteDesktopChangeClientSettings
  Format=installer package bundle
  CodeDirectory v=20100 size=176 flags=0x0(none) hashes=1+3 location=embedded
  Hash type=sha1 size=20
  CandidateCDHash sha1=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Hash choices=sha1
  CDHash=888c8c6a6abd2f544020594e7d6f4dc31a7e01b8
  Signature size=4072
  Authority=Software Signing
  Authority=Apple Code Signing Certification Authority
  Authority=Apple Root CA
  Info.plist entries=24
  TeamIdentifier=not set
  Sealed Resources version=2 rules=12 files=21
  Internal requirements count=1 size=96
  

  Здається, легітимним і (порівнюючи його з іншими програмами) від самого Apple. Якщо додаток / кг був підписаний іншою компанією, принаймні одна з рядків Органу відображатиме іншого постачальника / розробника.

• Перевірте файли бом-квитанцій:

  grep --include=\*.bom -rnw '/System/Library/Receipts/' -e "RemoteDesktopChangeClientSettings"
  

  який, ймовірно, дасть урожай:

  Binary file /System/Library/Receipts//com.apple.pkg.RemoteDesktopClient.bom matches
  

  Перевірте відповідний файл плісту, і ви отримаєте пакет для встановлення: RemoteDesktopClient 3.9.2. Здається, також легітимним Apple. Тепер ви можете lsbom ...файл. Див man lsbom.

  А другі Квитанції папки з неяблоком специфікаціями / plists знаходиться в папці / Library!

Можливо, є ще кілька методів перевірити, чи файл легітимний чи ні, який я спробую додати пізніше.

Я також бачу пакет /usr/local/remotedesktop/RemoteDesktopChangeClientSettings.pkg на своєму MacBook Pro під керуванням macOS 10.13.1 (High Sierra).

$ sw_vers
ProductName:    Mac OS X
ProductVersion: 10.13.1
BuildVersion:   17B1003

$ cd /usr/local/remotedesktop

$ /bin/ls -la
total 0
drwxr-xr-x   3 root  wheel   96 Nov 14 10:34 .
drwxr-xr-x  11 root  wheel  352 Dec 14 15:19 ..
drwxr-xr-x   3 root  wheel   96 Feb 14  2017 RemoteDesktopChangeClientSettings.pkg

Я модернізувався до Високої Сьєрри 14 листопада.

Перевіряючи підпис за допомогою pkgutil, я бачу, що пакет підписаний ненадійним сертифікатом:

$ pkgutil --check-signature RemoteDesktopChangeClientSettings.pkg
Package "RemoteDesktopChangeClientSettings.pkg":
   Status: signed by untrusted certificate
   Certificate Chain:
    1. Software Signing
       SHA1 fingerprint: 22 03 02 9E 85 EF B1 82 8B 92 8C 3B 65 45 F0 03 CC 0E 51 5C
       -----------------------------------------------------------------------------
    2. Apple Code Signing Certification Authority
       SHA1 fingerprint: FA D8 1F 57 1D 72 D2 BA B0 BA B2 17 F9 80 DB 88 03 77 4B 85
       -----------------------------------------------------------------------------
    3. Apple Root CA
       SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60

При спробі відкрити пакунок я бачу це попередження:

Натискаючи кнопку Показати сертифікат, я бачу, що термін дії сертифікату минув:

Отже, мабуть, не рекомендується встановлювати цю версію пакета RemoteDesktopChangeClientSettings.pkg :-)

Це, безумовно, компонент Apple. Залишилося навіть після того, як я спробував видалити свій Remote Desktop.app, тому я здогадуюсь, що це щось, що ОС може бути встановлена.

Я подав проблему в Apple Bugs, оскільки / usr / local має бути під контролем користувача, і там ніколи не повинно бути встановлено жодних файлів ОС.

Я видалив папку / usr / local / Remotedesktop, оскільки там її некрасиво, але вона може певним чином зламати віддалений робочий стіл, не впевнений. Сподіваючись, що наступне оновлення ОС може усунути проблему і більше не ставити файли в / usr / local.