12 votes

thingEvery avatar

Mises en garde concernant les processus SSH

Demandé el 20 de Janvier, 2023
Quand la question a-t-elle été
315 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Il y a un moment que je n'avais pas besoin de me connecter à un serveur via SSH. Quand j'ai essayé de me connecter aujourd'hui, Little Snitch m'a donné cet avertissement :

Le programme "ssh" a été modifié

Auparavant, le programme avait l'identifiant "com.apple.openssh", mais maintenant c'est "com.apple.ssh". Cela signifie probablement qu'Apple a décidé de renommer le processus. Mais veuillez inspecter les noms ! Si un processus a été remplacé par un interpréteur de script comme Python, ses règles peuvent être détournées par un virus de script.

Avertissement SSH d'Apple

Et c'est probablement rien, mais en regardant le binaire dans un éditeur de code, j'ai remarqué que les 8 premiers caractères disent "cafe babe". Étrange, non ?

Binaire SSH d'Apple 'cafe babe'

Je n'ai trouvé aucune information à ce sujet en ligne, alors j'ai installé openssh via Homebrew. Mais quand je l'exécute, Little Snitch prévient que le processus n'a pas de signature.

Avertissement non signé SSH Homebrew

Quoi qu'il en soit, j'ai vérifié la signature sur le binaire Apple en utilisant codesign -db --verbose=4 /usr/bin/ssh, mais je ne trouve rien en ligne pour comparer la sortie.

Alors, comment puis-je être sûr que ce binaire est légitime avant de le laisser se connecter ?

Au fait, je lance Ventura 13.1.

Édition : Voici la sortie de codesign -dv --verbose=4 /usr/bin/ssh :

Exécutable=/usr/bin/ssh
Identifiant=com.apple.ssh
Format=Mach-O universel (x86_64 arm64e)
Répertoire de code v=20400 taille=6182 drapeaux=0x0(aucun) hachages=183+7 emplacement=intégré
Identifiant de plateforme=14
VersionPlateforme=1
VersionMin=852224
VersionSDK=852224
Type de hachage=sha256 taille=32
CDHash candidat sha256=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e7
CDHashComplet candidat sha256=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e791bd5a9e96f67e9b2169eb16
Choix de hachages=sha256
CMSDigest=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e791bd5a9e96f67e9b2169eb16
TypeCMSDigest=2
Base de segment Exécutable=0
Limite de segment Exécutable=671744
Drapeaux de segment Exécutable=0x1
Taille de page=4096
Contraintes de lancement :
    Aucun
CDHash=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e7
Taille de la signature=4442
Autorité=Software Signing
Autorité=Apple Code Signing Certification Authority
Autorité=Apple Root CA
Signé à=5 nov. 2022 à 00:44:29
Info.plist=non liée
TeamIdentifier=non défini
Ressources scellées=aucune
Nombre de requis internes=1 taille=64

Sortie de 'uname -a' :

Darwin MacBook-Pro.local 22.2.0 Darwin Kernel Version 22.2.0: Fri Nov 11 02:08:47 PST 2022; root:xnu-8792.61.2~4/RELEASE_X86_64 x86_64

Sortie de

Demandé el 20 de Janvier, 2023 par thingEvery

Réponse

Trop de publicités?

9voto

nohillside avatar
nohillside Points 82672

Si vous exécutez effectivement /usr/bin/ssh et que vous n'avez pas joué avec SIP ou SSV, vous pouvez supposer que le binaire est légitime.

SSV (Sealed System Volume) garantit que votre installation macOS ne peut pas être altérée (le système refuse tout simplement de démarrer si quelqu'un essaye).

PS: Pour Ventura 13.1, j'obtiens le hachage suivant pour ssh:

$ uname -a
Darwin Sumtri.local 22.2.0 Darwin Kernel Version 22.2.0: Fri Nov 11 02:04:44 PST 2022; root:xnu-8792.61.2~4/RELEASE_ARM64_T8103 arm64
$ /sbin/md5 /usr/bin/ssh
MD5 (/usr/bin/ssh) = 28dae2824341539a9e4d073b28bc0b89
Répondu el 20 de Janvier, 2023 par nohillside (82672 Points )

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X