自從Mac OS X 10.8的美洲獅開始，Apple引進(jìn)了一個叫Gatekeeper的技術(shù)，用來保護(hù)系統(tǒng)免收外來Apps對系統(tǒng)安全的破壞，這也是Apple所作出的技術(shù)上對付曾經(jīng)爆發(fā)的被閃回感染的事件。 蘋果的官方文檔 。

這個設(shè)置在System Preferences中的Security中給普通用戶一個直觀而簡單的設(shè)置選項：

在這里，給了用戶兩個蘋果認(rèn)為適合的安全選項，“ 所有Mac App商店下載的軟件 ”都是認(rèn)為安全的，或者“ Mac App商店下載以及特定的開發(fā)者的軟件 ”被認(rèn)可安全，因為每個在蘋果注冊的開發(fā)人員都有一個特定的開發(fā)人員ID，并可以通過xcode環(huán)境對自己開發(fā)／發(fā)布的軟件進(jìn)行數(shù)字簽名，Mac系統(tǒng)可以讀取／驗證每個軟件中的這個數(shù)字簽名是否有效。 當(dāng)然了最后一個選項是關(guān)閉這個安全措施－完全關(guān)閉。

據(jù)說Mac OS X 10.7.5也引進(jìn)了這個技術(shù)，我還沒有安裝。

Gatekeeper看上去挺美，可是之通過上面的方式進(jìn)行配置，是不適用企業(yè)環(huán)境的，或者說那兩個選項在企業(yè)環(huán)境中不夠靈活。

首先，我們在部署或者重新安裝系統(tǒng)的時候，目前普遍的方式都是核心系統(tǒng)影像+軟件安裝包的形式。而核心影像最安全通用的方法也是直接從OS X的安裝dmg文件獲得，管理員沒有機(jī)會定制Gatekeeper。

其次，每個企業(yè)環(huán)境不同，應(yīng)用軟件來源多種多樣，不說舊的版本和獲得渠道，就說即便是新軟件，每個人都可以從開發(fā)者那里直接購買，一是因為從App商店購買的軟件都是Apps，有好多限制，比如強(qiáng)制適用沙箱技術(shù)等；而來第三方開發(fā)者完全可以不用向Apple交開發(fā)員年費而開發(fā)Apple軟件，對于這些開發(fā)商不能排除在外。

另外，管理員還需要把適合自己企業(yè)環(huán)境的安全措施， 隨時部署到內(nèi)部，所以也需要靈活的工具來管理。

所以需要有一個有效工具，蘋果提供了一個命令行工具叫spctl。

通過這個工具，管理員可以靈活地添加自己的規(guī)則(rules)，或者打開或者關(guān)閉這個功能。

關(guān)閉: sudo spctl --master-disable

打開: sudo spctl --master-enable

添加一個規(guī)則：sudo spctl --add --label "Good Apps" /Applications/Good.app

sudo spctl --add --label "Bad Apps" /Applications/Bad.app

禁止 一個規(guī)則： sudo spctl --disable --label "Bad Apps" /Applications/Good.app

準(zhǔn)許 一個規(guī)則： sudo spctl --disable --label "Good Apps"

刪除一個規(guī)則： sudo spctl --remove --label "Good Apps"

檢查狀態(tài)：sudo spctl --status

這些規(guī)則存放在一個數(shù)據(jù)庫中/var/db/SystemPolicy，系統(tǒng)還存放了一個最原始的系統(tǒng)數(shù)據(jù)庫/var/db/.SystemPolicy-default，以便管理員可以從頭開始配置。

OSX: 靈活管理Gatekeeper