santa
v2024.9
Santa 是 macOS 的二进制文件访问授权系统。它由一个监视执行的系统扩展、一个根据本地数据库内容做出执行决策的守护程序、一个在出现块决策时通知用户的 GUI 代理以及一个用于管理系统和的命令行实用程序组成。将数据库与服务器同步。
它被命名为圣诞老人,因为它跟踪顽皮或友善的二进制文件。
Santa 文档存储在 Docs 目录中,并在 https://santa.dev 上发布。
这些文档包括部署选项、Santa 各部分如何工作的详细信息以及开发 Santa 本身的说明。
如果您有疑问或需要入门帮助,圣诞老人开发小组是一个很好的地方。
如果您认为存在错误,请随时报告问题,我们会尽快回复。
如果您认为自己发现了漏洞,请阅读披露报告的安全策略。
多种模式:在默认的 MONITOR 模式下,除了标记为阻止的二进制文件之外的所有二进制文件都将被允许运行,同时被记录并记录在事件数据库中。在 LOCKDOWN 模式下,只允许运行列出的二进制文件。
事件日志记录:加载系统扩展时,将记录所有二进制文件启动。在任一模式下,所有未知或被拒绝的二进制文件都存储在数据库中,以便以后进行聚合。
基于证书的规则,具有覆盖级别:可执行文件可以通过其签名证书来允许/阻止,而不是依赖于二进制文件的哈希(或“指纹”)。因此,您可以允许/阻止给定发布者跨版本更新使用该证书签名的所有二进制文件。仅当其签名验证正确时,二进制文件才能被其证书允许,但二进制文件指纹的规则将覆盖证书的决定;即,您可以将证书列入白名单,同时阻止使用该证书签名的二进制文件,反之亦然。
基于路径的规则(通过 NSRegularExpression/ICU):这允许与托管客户端(配置文件的前身,使用相同的实现机制)中的功能类似,通过 mcxalr 二进制文件进行应用程序启动限制。此实现带来的额外好处是可以通过正则表达式进行配置,并且不依赖于 LaunchServices。正如 wiki 中详细介绍的,在评估规则时,这具有最低的优先级。
故障安全证书规则:您不能放入拒绝规则来阻止用于签署 launchd 的证书(又名 pid 1),从而阻止 macOS 中使用的所有组件。因此,每个操作系统更新(在某些情况下是整个新版本)中的二进制文件都会被自动允许。这不会影响 Apple App Store 中的二进制文件,它使用针对常见应用程序定期更改的各种证书。同样,您无法阻止圣诞老人本身,并且圣诞老人使用与其他 Google 应用不同的单独证书。
用户态组件相互验证:每个用户态组件(守护程序、GUI 代理和命令行实用程序)使用 XPC 相互通信,并在接受任何通信之前检查其签名证书是否相同。
缓存:允许的二进制文件被缓存,因此只有在二进制文件尚未缓存时才会执行发出请求所需的处理。
没有任何一个系统或进程能够阻止所有攻击,或提供 100% 的安全性。编写 Santa 的目的是帮助保护用户免受自身伤害。人们经常下载恶意软件并信任它,向恶意软件提供凭据,或允许未知软件窃取有关您系统的更多数据。作为集中管理的组件,Santa 可以帮助阻止恶意软件在大量机器中传播。圣诞老人可以独立地帮助分析您的计算机上正在运行的内容。
圣诞老人是纵深防御策略的一部分,您应该继续以您认为合适的任何其他方式保护主机。
Santa 仅阻止执行(execve 和变体),它不能防止使用 dlopen 加载的动态库、已替换的磁盘上的库或使用DYLD_INSERT_LIBRARIES加载的库。
脚本:Santa 目前被编写为忽略任何非二进制文件的执行。这是因为在权衡管理成本与收益之后,我们发现这是不值得的。此外,许多应用程序使用临时生成的脚本,我们不可能将其列入许可名单,否则会导致问题。如果它对其他人有用,我们很乐意重新审视它(或者至少将其作为一个选项)。
santactl命令行客户端包含一个与管理服务器同步的标志,该标志上传计算机上发生的事件并下载新规则。您可以与多种开源服务器同步:
或者, santactl可以在本地配置规则(无需同步服务器)。
像圣诞老人这样的工具并不适合屏幕截图,所以这里有一个视频。
非常欢迎对该项目提供补丁。请参阅贡献文档。
这不是Google 官方产品。
