Santa

Santa 是一个适用于 macOS 的二进制文件和文件访问授权系统。它由以下几个部分组成：一个监控执行的系统扩展、一个根据本地数据库内容做出执行决策的守护进程、一个在阻止决策时通知用户的 GUI 代理，以及一个用于管理系统和与服务器同步数据库的命令行工具。

它之所以被命名为 Santa，是因为它能追踪二进制文件的善恶。

文档

Santa 的文档存储在 Docs 目录中，并发布在 https://santa.dev。

这些文档包括部署选项、Santa 各部分工作原理的详细信息，以及开发 Santa 本身的说明。

获取帮助

如果你有问题或需要帮助入门，santa-dev 群组是一个很好的地方。

如果你认为发现了 bug，请随时报告问题，我们会尽快回应。

如果你认为发现了漏洞，请阅读安全政策了解披露报告的方法。

特性

多种模式：在默认的监控模式下，除了被标记为阻止的二进制文件外，所有二进制文件都允许运行，同时会被记录并存储在事件数据库中。在锁定模式下，只有列表中的二进制文件才允许运行。
事件日志：当系统扩展加载时，所有二进制文件的启动都会被记录。在任何模式下，所有未知或被拒绝的二进制文件都会被存储在数据库中，以便later进行聚合。
基于证书的规则，具有覆盖级别：无需依赖二进制文件的哈希值（或"指纹"），可以通过其签名证书来允许/阻止可执行文件。因此，你可以在版本更新时允许/阻止由特定发布者使用该证书签名的所有二进制文件。只有当二进制文件的签名正确验证时，才能通过其证书允许运行，但二进制文件指纹的规则会覆盖证书的决定。换句话说，你可以在允许某个证书的同时阻止使用该证书签名的特定二进制文件，反之亦然。
基于路径的规则（通过NSRegularExpression/ICU）：这允许实现类似于Managed Client（配置文件的前身，使用相同的实现机制）中的功能，即通过mcxalr二进制文件实现应用程序启动限制。这种实现带来了可通过正则表达式进行配置的额外好处，且不依赖LaunchServices。如wiki中详述，在评估规则时，这种方式具有最低的优先级。
故障安全证书规则：您不能设置一个拒绝规则来阻止用于签名launchd（即pid 1）的证书，因此也不能阻止macOS中使用的所有组件。因此，每次操作系统更新（在某些情况下是整个新版本）中的二进制文件都会自动被允许。这不影响来自Apple App Store的二进制文件，这些文件使用定期更改的各种证书。同样，您也不能阻止Santa本身，Santa使用的证书与其他Google应用程序不同。
用户空间组件相互验证：每个用户空间组件（守护进程、GUI代理和命令行工具）使用XPC相互通信，并在接受任何通信之前检查它们的签名证书是否相同。
缓存：允许的二进制文件会被缓存，因此只有在二进制文件尚未缓存时才需要进行处理请求。

意图和期望

没有任何单一系统或进程能够阻止所有攻击或提供100%的安全性。Santa的设计初衷是帮助保护用户免受自身的伤害。人们经常下载恶意软件并信任它，给予恶意软件凭证，或允许未知软件窃取有关您系统的更多数据。作为一个集中管理的组件，Santa可以帮助阻止恶意软件在大量机器中传播。独立地，Santa可以帮助分析您计算机上运行的内容。

Santa是纵深防御策略的一部分，您应该继续以您认为合适的其他方式保护主机。

安全性和性能相关功能

已知问题

Santa只阻止执行（execve及其变体），它不能防护通过dlopen加载的动态库、被替换的磁盘上的库，或使用DYLD_INSERT_LIBRARIES加载的库。
脚本：Santa目前被设计为忽略任何非二进制文件的执行。这是因为在权衡管理成本与收益后，我们发现这样做并不值得。此外，许多应用程序使用临时生成的脚本，我们不可能将其全部列入白名单，不这样做会导致问题。如果对他人有用，我们很乐意重新考虑这一点（或至少将其作为一个选项）。

同步服务器

santactl命令行客户端包含一个与管理服务器同步的标志，用于上传机器上发生的事件并下载新规则。有几个开源服务器可供同步：
- Moroz - 一个简单的golang服务器，从简单的配置文件中提供硬编码规则。
- Rudolph - 一个基于AWS的无服务器同步服务，主要基于API GW、DynamoDB和Lambda组件构建，以减少运营负担。Rudolph旨在快速、易用且具有成本效益。
- Zentral - 一个集中式服务，从多个源获取数据并将配置部署到多个服务。
- Zercurity - 一个Docker化服务，用于管理和监控使用Santa + Osquery的大型机群中的应用程序。
另外，santactl可以在本地配置规则（无需同步服务器）。