Apple Sistem Anahtarlığından birçok sistem kökünü nasıl kaldırabilirim?

14

Apple anahtarlık uygulaması sistem köklerini kaldırmanıza izin vermez, yalnızca bunları devre dışı bırakmanıza izin verir. Bunları teker teker devre dışı bırakmanıza izin verir. Her biri için 3 UI panelinden geçmeniz ve şifrenizi yazmanız gerekir. Bunu otomatikleştirmenin veya bir kerede yapmanın bir yolu var mı? Apple'ın mevcut sistem kökleri seçimini sevmiyorum.

keychain 
vy32
kaynak
Size bir cevap / çözüm veremem, ama bunu yeniden düşünmenizi önerebilirim. Neyi başarmayı umuyorsunuz / Hedefiniz nedir? Bunu yapmanın avantajları nelerdir? Bunu yapmanın dezavantajları nelerdir? Keychain'i temizlemek isteme meselesi ise, unuturdum. "Sistem" ile ilgili HERHANGİ BİRİNİ değiştirmek sorunlara yol açabilir ve genellikle önerilmez. "Kırılmadıysa, tamir etme" durumlarından biri.
modelamac
5
Amacım güvenmediğim kuruluşlardan güvenilir kökleri kaldırmak. Çin hükümetine güvenmiyorum. Hollanda'nın tehlikeye atılan sertifikalarına güvenmiyorum. Bir sürü başka organizasyondan gelen güvencelere güvenmiyorum. Onları istemiyorum. Neden tüm bu organizasyonlara güveneyim ki? Yapmıyorum.
vy32
3
Güvenmemek için iyi bir certs listesi ve onların güvenlerini bulmak için iyi bir liste bulmak için arıyorum. Bana özel nişlerin dışında düzenli olarak görülmeyenlere güvensizlik için iyi bir fikir gibi görünüyor. Belki netcraft, hangilerinin yaygın olarak kullanıldığını belirlemek için anketleri yoluyla geliştirilen yaygın olarak kullanılan CA'ların bir listesine sahiptir . Yaklaşık bir düzine CA ile, en iyi 500 siteye ve düzenli olarak ziyaret ettiğim tüm sitelere sahip olacağımı tahmin ediyorum. vy32, güvenmemeye karar verdiğiniz certs listeniz olup olmadığını ve neden onları seçtiğinizi merak ediyorum. Paylaşabilir misin? Ayrıca,
Mr
Hangi sertifikanın hangi uygulamaya ait olduğunu nasıl öğrenirsiniz?
Ruskes
Sertifikalar uygulamalara ait değildir. Sisteme aitler.
vy32

Yanıtlar:

13

Bir şey denemeden önce anahtarlık yedekleyin.

Kök sertifikaları listeleme:

sudo security dump-keychain /System/Library/Keychains/SystemRootCertificates.keychain

Sadece kurtulmak istediğiniz sertifikaların adlarını veya SHA-1 karma değerlerini bulun ve not edin.

Şimdi bu kök sertifikaları security delete-certificatekomutunu kullanarak silebilirsiniz .

Kullanımı: delete-certificate [-c adı] [-Z karma] [-t] [anahtarlık ...]

-c  Specify certificate to delete by its common name
-Z  Specify certificate to delete by its SHA-1 hash value
-t  Also delete user trust settings for this certificate The certificate to be deleted must be uniquely specified either by a

ortak adında veya SHA-1 karmasıyla bulunan dize. Aranacak anahtar zincir belirtilmezse, varsayılan arama listesi kullanılır.

Örneğin, çince kök sertifikaları bu komutu kullanarak silebilirsiniz: 

sudo security delete-certificate -Z 8BAF4C9B1DF02A92F7DA128EB91BACF498604B6F /System/Library/Keychains/SystemRootCertificates.keychain
Alex Bolotov
kaynak
3
Kök sertifikaların listesi SHA-1 karma değerini hangi öznitelik altına alırsa?
BrightIntelDusk
1
@BrightIntelDusk aşağıdaki komutu kullanabilirsiniz:sudo security find-certificate -a -c startcom -Z /System/Library/Keychains/SystemRootCertificates.keychain
lifeofguenter
1

Teşekkür ederim! -C seçeneği ile benim için çalıştı. Keychain.app'da kök sertifikanın adını bulun, sonra sudo security delete -c "CERTNAME" /System/Library/Keychains/SystemRootCertificates.keychain Keychain.app'ı bu sertifika ile açık halde tutarsanız, terminalde komutu yürütürken hemen silindiğini fark edersiniz.

Bolle
kaynak
0

Silme sertifikasına sahip bir kökün karma tarafından güvensizliği bozuldu: sudo security delete- certificate -Z 8250BED5A214433A66377CBC10EF83F669DA3A67 / System/Library/Keychains/SystemRootCertificates.keychainBu, referans verilen bu sertifika mevcut olsa bile her zaman başarısız olur: “güvenlik: SecKeychainItemDelete: UNIX [İşleme izin verilmiyor]”.

İşte DEFCON24'teki bir konuşmadan bir çözüm.

Bunun yerine kök sertifikayı cer dosyası olarak kaydedin ve kullanın: security add-trusted-cert -d -r deny -k "/Library/Keychains/System.keychain" certname.cer

cl0kd
kaynak
0
  1. Open Keychain Access uygulaması (/ Uygulamalar / Yardımcı Programlar / Keychain Access.app)
  2. Anahtar zincirlerinde Sistem Kökleri Seçin
  3. Kategorideki Sertifikaları seçin
  4. Süresi dolmuş sertifikanın adını arayın
  5. Sertifikayı sağ tıklayın ve ardından "Sil" i seçin
  6. Sistem yöneticisi şifresini girin
P Anandhakumar
kaynak
Sistem bütünlüğü koruması nedeniyle el capitan'dan beri bu artık çalışmaz. Ancak güvenmemeyi seçebilirsiniz.
Antzi
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.