UJP - 技術情報2 編集 : macOS/Gatekeeper の編集
Life is fun and easy!
不正IP報告数
Okan Sensor
Home
Information
Service
Tech(Free)
Tech(Member)
Blog
FAQ
メイン
ホーム
お知らせ
技術新着情報
組織
サービス
技術情報2
新規ページ作成
最新ページ一覧
全ページ一覧
ヘルプ
» 関連ページ
» 編集する
» 編集履歴
» バックアップ一覧
» 添付ファイル一覧
» リンク元一覧
技術情報1
技術情報
ブログ
RSSサイト更新
旧ブログ
FAQ
画像ファイル管理
ログイン
ユーザー名:
パスワード:
パスワード再発行手続き
|
無料会員入会手続へ...
ブログ カテゴリ一覧
雑記
(237)
投資で凍死
(271)
時事
(506)
テレビ・ドラマ
(419)
映画
(915)
007シリーズ
(33)
刑事コロンボ
(62)
災害
(212)
スキルチャージ
(49)
放送大学
(23)
Python
(10)
検定・試験
(32)
セキュリティ
(5)
ニュース・徒然
(325)
脆弱性情報/注意喚起
(110)
スパム・フィッシング
(634)
攻撃/ブルートフォース
(24)
ツール
(130)
事故・事件
(104)
文献・統計・参考資料
(128)
ベンダ・サービス
(3)
事故被害者記録
(46)
あとで確認
(1)
システム障害事故
(55)
サイト構築
(74)
Apple
(18)
MacBook Pro
(0)
2011 13inch
(31)
2007 15inch
(1)
2008 17inch
(20)
2015 15inch
(6)
Mac Pro 2013
(10)
Apple Watch
(84)
mac mini
(0)
2018
(1)
2011 server
(4)
2010 server
(5)
2014
(15)
2010
(36)
2005
(8)
MacBook
(0)
2017 12inch
(11)
2008 late
(45)
MacBook Air
(0)
2011 13inch/BCP
(9)
2013 13inch/US
(5)
2011 11inch
(31)
2011 13inch
(8)
Macソフト
(134)
Mac周辺機器
(36)
PowerBook
(5)
iPod touch/iOS
(59)
iPhone
(172)
iPad
(76)
ガジェット
(116)
fire tv
(1)
文房具
(19)
HUAWEI Watch FIT
(10)
カメラ/デジカメ
(40)
タイムラプス
(6)
ネットワーク機器
(17)
ネットワークケーブル
(4)
ネットワークその他
(8)
ネットワークスピード
(14)
YAMAHA/ヤマハ
(1)
FWX120
(2)
RTX1200
(14)
RTX1100/RTX1000
(10)
RT107e
(2)
NETGEAR WAC510
(11)
NERGEAR Orbi
(1)
Panasonic MNOseries
(3)
マウス&キーボード
(58)
AV機器・レグザ
(99)
電球
(11)
ハウツー
(105)
GPS/地図
(70)
ビジネス
(169)
新規ビジネス
(19)
お仕事
(63)
ケータイビジネス
(41)
PC
(11)
Raspberry Pi
(58)
ML110 G5
(20)
LIFEBOOK
(11)
Surface
(50)
ThinkPad R61
(5)
CF-LX4
(9)
CF-RZ6
(7)
DynabookPT45
(8)
PN-ZP30
(5)
EndeavorTN40
(4)
Intel NUC6CAYS
(2)
モバイル
(16)
ケータイスマホ機種
(34)
スマホアプリ
(73)
データ通信・契約
(79)
EMONSTER
(5)
IDEOS
(12)
Galaxy Note
(39)
Windows Phone
(20)
Nexus
(22)
コンピュータ
(11)
Windows
(90)
サーバソフト
(32)
Db2
(16)
クライアントソフト
(76)
インターネット
(69)
Google
(119)
ネットサービス
(157)
ハードウェア
(19)
プリンタ
(9)
ストレージ
(5)
ディスプレイ
(11)
情報システム
(95)
趣味
(3)
ポケモンGO
(640)
寝台特急カシオペア/カシオペア紀行
(34)
TOKYO2020
(85)
雑草対策
(27)
食べた
(209)
たべた(駅弁)
(30)
飲んだ
(33)
調理した
(24)
ラーメン・麺類
(202)
鉄道
(237)
農園
(168)
アクアリウム
(160)
ホテル・旅館
(44)
書評
(42)
演劇
(22)
車・バイク
(76)
自然・星
(37)
散策・近代建築
(18)
神社・寺
(50)
高層ビル
(24)
現代建築
(15)
建築物
(6)
観光・名所
(88)
イベント
(73)
散策:城
(34)
ディズニー
(24)
モーターショー
(16)
鳥
(9)
美術館
(28)
コンサート/ライブ
(72)
船
(3)
スポーツ
(120)
音楽
(76)
ミニカー
(4)
Nゲージダイキャスト
(8)
Nゲージ
(0)
サマリ
(6)
ピンバッチ
(3)
サイト運営
(39)
人生
(68)
監視/防犯/みまもり/遠隔
(93)
お金の話
(94)
体・病気
(118)
相続・土地売買
(17)
コンテンツ更新情報
(2)
macOS Getekeeper考察
の編集
技術情報2
macOS
/
Gatekeeper
の編集
macOS/Gatekeeper の編集
詳細な入力項目を表示
ページタイトル
( 空白で自動設定 )
:
ページ頭文字読み:
ページ並び順
( 0-9 小数可 標準:1 )
:
ページ別名
(複数は[
改行
]で区切る)
:
ページ内容:
*macOS Getekeeper考察 [#e75ad5e4] **はじめに [#zf03369b] macOSにて,ダウンロードしたアプリケーションを実行しようとした時に「開発元を確認できないため、開けませんでした。」と表示される.ネットを検索すると,この時の会場方法について指南するサイトは多くあるけれど,仕組みについて説明されたものがなかったので,まとめてみる. **現象の確認 High Sierraを利用[#v1adb1dc] ダウンロードしたアプリのインストーラ(.pkg方式)を実行しようとすると,次のようなダイアログが出る. #ref(site://modules/xelfinder/index.php?page=view&file=7181&macOSgatekeeper01.png,center) これはマルウェア(ウイルスなどの悪意のあるソフトウェアの総称)を誤ってダウンロードしても意図せずに実行しないように制御しているのだが,この機能がmacOSのGatekeeper. このようにブロックされたアプリは,[システム環境設定]の[セキュリティとプライバシー]を開くと確認できる. #ref(site://modules/xelfinder/index.php?page=view&file=7180&macOSgatekeeper02.png,center,mw:600,mh:600) ここで[このまま開く]ボタンを押下すると,次のようなダイアログが表示される. #ref(site://modules/xelfinder/index.php?page=view&file=7183&macOSgatekeeper03.png,center) 先ほどとはメッセージが変わった.一度許可すると,「常に許可」される. 今回の場合はインストーラなので,いくらでもインストールが可能.(普通は何度もインストールしないか) これで[開く]を選択すると,プログラムが実行される. #ref(site://modules/xelfinder/index.php?page=view&file=7182&macOSgatekeeper04.png,center,mw:600,mh:600) 今回の場合,pkgファイルなのでインストールが実行できる. **macOS 10.14 Mojaveでの動作 [#qa0b3e48] macOSはバージョンアップの都度,デフォルト設定を強化していて,MojaveでのmacOS Gatekeeperのダウンロードしたアプリケーションの実行許可は,次のようにApp Storeから限定とされている. #ref(site://modules/xelfinder/index.php?page=view&file=7189&macOSgatekeeper05mojave.jpg,center,mw:600,mh:600) この状態でアプリケーションの実行を行う. #ref(site://modules/xelfinder/index.php?page=view&file=7186&macOSgatekeeper06mojave.png,center) ダイアログにも,控えめにApp Storeのみと書かれている. #ref(site://modules/xelfinder/index.php?page=view&file=7190&macOSgatekeeper07mojave.jpg,center,mw:600,mh:600) このまま実行する. #ref(site://modules/xelfinder/index.php?page=view&file=7184&macOSgatekeeper08mojave.png,center) ダウンロードしたアプリケーションを開こうとすると,管理者権限が必要になる. **High SierraからMojaveへバージョンアップした時のデフォルトの違い [#u2f6a20d] Mojave(10.14)ではダウンロードしたアプリケーションの実行許可は,App Storeになっている. #ref(site://modules/xelfinder/index.php?page=view&file=7191&macOSgatekeeper09mojave.png,center,mw:600,mh:600) 以前のHigh Sierra(10.13)では,「確認済みの開発元からのアプリケーションを許可」がデフォルトになっていたが,Mojaveへバージョンアップした場合は,デフォルトはHigh Sierraの設定が継承される. **確認済みの開発元とはなんなのか [#h81fb637] Appleが承認したアプリケーションベンダを「確認済みの開発元」というが,これはDeverloperに登録し,Developer IDを取得している事が求められている. このDeveloper IDで署名したアプリに限り,Cloudkit,Apple Push Notificationsという機能を実装できるという飴と鞭戦略もある模様. **ダウンロードしたpkgの証明書を確認する [#uae23c1c] ダウンロードしたpkgが持っている証明書は,pkgutilを使うことで確認できる. 次の例では,MicrosoftのサイトからダウンロードしたMicrosoft Teamsのパッケージファイルを確認. $ pkgutil --check-signature Downloads/Teams_osx.pkg🆑 Package "Teams_osx.pkg": Status: signed by a certificate trusted by Mac OS X Certificate Chain: 1. Developer ID Installer: Microsoft Corporation (UBF8T346G9) SHA1 fingerprint: F3 13 36 F7 FF AC 5E 8B 2E 9B 1C 7A 88 84 B0 96 02 0A 4C 19 ----------------------------------------------------------------------------- 2. Developer ID Certification Authority SHA1 fingerprint: 3B 16 6C 3B 7D C4 B7 51 C9 FE 2A FA B9 13 56 41 E3 88 E1 86 ----------------------------------------------------------------------------- 3. Apple Root CA SHA1 fingerprint: 61 1E 5B 66 2C 59 3A 08 FF 58 D1 4A E2 24 52 D1 98 DF 6C 60 $ MicrosoftのDeveloper IDが登録されている. **ダウンロードしたDMGファイルをspctlコマンドで確認する [#y46b3409] DMGファイルは,Disk Imageファイル.昔のフロッピーディスクを貸そうかしていた頃から使われているけれど,macOS用のアプリを入手した際に,DMGファイル形式でダウンロードされるものも多い. このDMGファイルの署名を確認する. DMGファイルは,spctlコマンドを用いる. まずは,コマンドの使い方の確認. $ spctl🆑 System Policy Basic Usage: spctl --assess [--type type] [-v] path ... # assessment spctl --add [--type type] [--path|--requirement|--anchor|--hash] spec ... # add rule(s) spctl [--enable|--disable|--remove] [--type type] [--path|--requirement|--anchor|--hash|--rule] spec # change rule(s) spctl --status | --master-enable | --master-disable # system master switch Kernel Extension User Consent Usage: spctl kext-consent <action> ** Modifications only available in Recovery OS ** status Print whether kernel extension user consent is enabled or disabled. enable Enable requiring user consent for kernel extensions. disable Disable requiring user consent for kernel extensions. add <team-id> Insert a new Team Identifier into the list allowed to load kernel extensions without user consent. list Print the list of Team Identifiers allowed to load without user consent. remove <team-id> Remove a Team Identifier from the list allowed to load kernel extensions without user consent. $ 今回は,Microsoft Office互換ソフトのLibreOfficeをダウンロードしたものを使って検証する. $ spctl -a -t open --context context:primary-signature -v Downloads/LibreOffice_6.4.4_MacOS_x86-64.dmg🆑 Downloads/LibreOffice_6.4.4_MacOS_x86-64.dmg: rejected source=no usable signature🈁 $ 有効な署名は無いと表示された. 次のサンプル. $ spctl -a -t open --context context:primary-signature -v Downloads/IINA.v1.0.4.dmg🆑 Downloads/IINA.v1.0.4.dmg: rejected source=Developer ID🈁 $ これはDeveloper IDで署名されていると **インストールしたMac Appの開発元を確認する [#r40c365e] すでにインストールされているアプリが,Appleに証明されているか確認する. 調べたいアプリを,codesignコマンドで指定する. まずは,App Storeからインストールした,Monosnapを. $ codesign --display -vvv /Applications/Monosnap.app🆑 Executable=/Applications/Monosnap.app/Contents/MacOS/Monosnap Identifier=com.monosnap.monosnap Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20200 size=58133 flags=0x200(kill) hashes=1809+5 location=embedded Hash type=sha256 size=32 CandidateCDHash sha256=03bb860ec5dfca4c5b75e649edf9554c60587adc Hash choices=sha256 CDHash=03bb860ec5dfca4c5b75e649edf9554c60587adc Signature size=4617 Authority=Apple Mac OS Application Signing🈁 Authority=Apple Worldwide Developer Relations Certification Authority Authority=Apple Root CA Info.plist entries=36 TeamIdentifier=8DEE75ARD7 Sealed Resources version=2 rules=13 files=427 Internal requirements count=1 size=224 $ 次に,pkgファイルをダウンロードしてインストールしたMicrosoft Teamsを確認. $ codesign --display -vvv /Applications/Microsoft\ Teams.app🆑 Executable=/Applications/Microsoft Teams.app/Contents/MacOS/Teams Identifier=com.microsoft.teams Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20500 size=383 flags=0x10000(runtime) hashes=3+5 location=embedded Hash type=sha256 size=32 CandidateCDHash sha1=de20994eafa3411c1c5e35679925ca09ec1a94c7 CandidateCDHash sha256=ef8f97a75abc383dff7936fdd5d8e395aefbf3a8 Hash choices=sha1,sha256 CDHash=ef8f97a75abc383dff7936fdd5d8e395aefbf3a8 Signature size=9061 Authority=Developer ID Application: Microsoft Corporation (UBF8T346G9)🈁 Authority=Developer ID Certification Authority Authority=Apple Root CA Timestamp=2020/04/02 7:48:09 Info.plist entries=18 TeamIdentifier=UBF8T346G9 Runtime Version=10.12.0 Sealed Resources version=2 rules=13 files=129 Internal requirements count=1 size=180 $ 次に,OSに付属しているSafariを確認. $ codesign --display -vvv /Applications/Safari.app🆑 Executable=/Applications/Safari.app/Contents/MacOS/Safari Identifier=com.apple.Safari Format=app bundle with Mach-O thin (x86_64) CodeDirectory v=20100 size=321 flags=0x2000(library-validation) hashes=3+5 location=embedded Hash type=sha256 size=32 CandidateCDHash sha256=ab20751f33bbb1371b91a81ea316e297901bcc3e Hash choices=sha256 CDHash=ab20751f33bbb1371b91a81ea316e297901bcc3e Signature size=4485 Authority=Software Signing Authority=Apple Code Signing Certification Authority🈁 Authority=Apple Root CA Info.plist entries=40 TeamIdentifier=not set Sealed Resources version=2 rules=13 files=1932 Internal requirements count=1 size=64 $ んー.どこ見れば良いのかよくわからん.今日はここまで.
編集の要約:
Q & A 認証:
ページ更新時は次の質問にお答えください。(プレビュー時は必要ありません)
Q:
「名古屋」の読みがな?(ひらがなで)
A:
お名前:
タイムスタンプを変更しない
テキスト整形のルールを表示する
添付ファイル
:
Counter: 1499, today: 1, yesterday: 1
広告スペース
検索用語を入力
検索フォームを送信
Web
www.ujp.jp
