Dado que la verificación de firmas para extensiones de kernel y ejecutables se lleva a cabo en el espacio de usuario, esto me dice que SIP y el sandbox no están en funcionamiento cuando launchd es todavía el único proceso en ejecución. Sin embargo, no puedo estar seguro, así que pregunto: ¿está launchd completamente sin restricciones por las características de seguridad que fueron introducidas por SIP (por ejemplo, Sandbox, AMFI, entitlements, SIP, etc.)?
Respuesta
¿Demasiados anuncios?
Douglas
Puntos
10417
launchd está integrado de forma estrecha con Sandbox, permisos, etc.
Hice algunas investigaciones al respecto y encontré este artículo muy interesante de The Eclectic Light Company; AMFI: verificación de la integridad de archivos en tu Mac
Contrario a lo que afirmas, launchd no es el único proceso en ejecución. En realidad está estrechamente integrado con sandboxd, AMFI, trustd. Vea los siguientes fragmentos del artículo:
Normalmente se inicia después de
loginwindowysandboxd(un proceso relacionado), y antes desyspolicydytrustd(en los que se basa).AMFI se comunica con
launchd, y además de verificar firmas y sus certificados, verifica permisos y perfiles de aprovisionamiento, produciendo un diccionario de permisos filtrado para una aplicación.
