Mac uygulamalarını kontrol etmenin veya sınırlandırmanın herhangi bir yolu, gerekli olmayan veya kötü amaçlı olan dosyaları ve dizinleri oluşturmasını engeller mi?

Bazı uygulamaların bilgisayarınızda dosya oluşturmasını engelleyip engellemeye devam edip etmediğini bilen var mı? Belki pitonlar venv benzer bir şey ama bunun yerine .app dosyaları için. Geliştiricilere zararsız olsalar bile, Mac'imde kullanılmayan dosyaları geride bırakan biraz ocağım.

Böyle şeyler bunun için bir seçenek istiyorum. https://www.macobserver.com/tmo/article/how-manage-the-secret-software-that-google-chrome-installs-on-your-mac

Program bir .pkg veya yükleyici uygulaması kullanıyorsa, dosyaların nereye yükleneceğini görüntüleyebileceğinizi biliyorum, ancak programı kullanmak istiyorsanız bu gerçekten yardımcı olmuyor. Bunun için iyi bir cevap, bu programların sistem dosyalarına kurduklarını düşündükleri bir sanal dizin oluşturmak ve kullanıcı programdan memnun kalmazsa, sanal ortamı kolayca nükleer olarak başlatabilir ve baştan başlatabilir.

Böyle bir şey bilen var mı?

Çok teşekkürler

MacOS'un dahili içine bakmak isteyebilirsiniz sandbox-exec. Herhangi bir komutu, ağa erişiminin engellenebileceği, belirli konumlarda dosya yazması engellenebileceği bir “sanal alanda” çalıştırmak için kullanılabilir.

Bu cevabın alt kısmında, Mac OS X'te örnek olarak sunulan “firefox-sandbox” adlı bir sanal alan profili, Firefox'u dosya yazma yeteneğinin (çoğunlukla) Yüklemeler klasörünüzle sınırlı olduğu bir sanal alanda çalıştırma ipuçlarına dayanıyor . İpucunun birkaç yaşında olduğuna dikkat etmeliyim, sandbox profili macOS ve Firefox'un son sürümleri için biraz uğraş gerektirebilir, denemedim. İpucu, Firefox'un sanal alanda çalıştırılabileceğini söylüyor:

sandbox-exec -f firefox-sandbox /Applications/Firefox.app/Contents/MacOS/firefox-bin

Bu kapağa bakmak isteyebileceğiniz diğer bazı bağlantılar sandbox-exec:

• Güvenliği artırmak için Uygulamalarınızı Mac OS X sanal alanında nasıl çalıştırırsınız?
• OS X: Bir sanal alanda herhangi bir komutu çalıştırın
• Apple'ın Sandbox Kılavuzu

İşte “firefox-sandbox” dosyası:

(version 1) 
(deny default)

(allow file-write* file-read-data file-read-metadata
  (regex "^/Users/user_name/Downloads")
  (regex "^/Users/user_name/Library/Application Support/Mozilla")
  (regex "^/Users/user_name/Library/Application Support/Firefox")
  (regex "^/Users/user_name/Library/Preferences")
  (regex "^/Users/user_name/Library/PreferencePanes")
  (regex "^/Users/user_name/Library/Caches/Firefox")
  (regex "^/Users/user_name/Library/Caches/TemporaryItems")
  (regex "^/Applications/Firefox.app")
  (regex "^(/private)?/tmp/"))

(allow file-read-data file-read-metadata
  (regex "^/dev/autofs.*")
  (regex "^/Library/Preferences")
  (regex "^/Library/Internet Plug-Ins")
  (regex "^/Library/PreferencePanes")
  (regex "^/usr/share/icu")
  (regex "^/usr/share/locale")
  (regex "^/System/Library")
  (regex "^/Applications/Firefox.app")
  (regex "^/usr/lib")
  (regex "^/var")
  (regex #"Frameworks/SDL.framework")
; Our Module Directory Services cache
  (regex "^/private/var/tmp/mds/")
  (regex "^/private/var/tmp/mds/[0-9]+(/|$)")
  (regex "^/Users/user_name"))

(allow mach* sysctl-read)

(import "/usr/share/sandbox/bsd.sb")
(deny file-write-data
   (regex #"^(/private)?/etc/localtime$"
     #"^/usr/share/nls/"
     #"^/usr/share/zoneinfo/"))

(allow process-exec 
  (regex "^/Applications/Firefox.app"))

(allow network*)