我在10.6中使用托pipe的首选项来限制包括允许的应用程序在内的用户帐户到允许的文件夹。 例如,通过允许包含脚本的单个应用程序或其他文件夹的* .app文件夹工作。 我按文件夹执行此操作,以避免在更新某些应用程序和脚本时由于新的应用程序签名而重新允许应用程序。
在10.6以下,被允许的应用程序调用的子应用程序和进程是允许的。 在10.7以下,不允许任何儿童程序。 这甚至延伸到由loginwindow进程启动的用户级系统服务(例如,pboard [系统粘贴板]和distnoted [分布式通知系统])。 因此,当我在10.7中将“按文件夹”应用程序列入白名单时,它基本上破坏了该帐户的可用性。
terminal也许是一个更好的例子。 如果我允许terminal,则不允许/ usr / bin / login,使terminal无用。 如果我允许/ usr / bin /,那么ls,mv和cp仍然是不允许的,因为它们包含在/ bin /中。
将所有可能的助手应用程序和可执行文件(可能被允许的应用程序调用)的可执行文件列入白名单似乎是不可能的。 在新安装的情况下,这个行为在新创build的用户下仍然存在。
我使用dscl(通过安装程序)从mcxexport生成的plist中导入用户的托pipe偏好设置。 是否有一个我可以添加到托pipe偏好的关键,这将允许白名单(按文件夹)应用程序的subprocess? 我无法在工作组pipe理器中find允许subprocess的设置。 有没有人遇到过这个问题?