thorstenhirsch
Aktives Mitglied
Thread Starter
- Dabei seit
- 17.03.2015
- Beiträge
- 1.205
- Reaktionspunkte
- 854
Hallo. In meiner /var/log/system.log tauchen seit 10.11 immer wieder solche Einträge auf:
Verbietet die sandbox von OS X dem eigenen Updater einige fsctl-Aufrufe? Warum?!
Noch ein Beispiel: Ich hab' htop per homebrew installiert, aber immer wenn ich es starte, bekomme ich rund 500 Einträge in dmesg und /var/log/system.log, die wie folgt aussehen:
Hinten der Port wird quasi von 1 bis 579 durchgezählt, einige Nummern fehlen... also rund 500 Einträge. Man beachte: da steht "allow", ich werde also zugespammt mit Meldungen dazu, was sandbox einem Programm erlaubt?! Das ist ja noch schlimmer!
Wenn ich das richtig sehe, kann ich die deny-Meldungen "bekämpfen", indem ich ein sandbox-profile anlege. Zu den allow-Meldungen ist mir noch nichts eingefallen. Aber darauf will ich eigentlich gar nicht hinaus. Mir geht's um das prinzipielle Konstrukt der sandbox in einem System wie OS X. So eine sandbox mit Berechtigungen auf einzelnen "Apps" mag ja die richtige Herangehensweise auf einem System sein, zu dem man kein Vertrauen hat. Ich hab' aber Vertrauen zu OS X und dem Zeug, das ich installiere. Ich will diesen sandbox-Krempel deaktivieren! Bislang habe ich rootless deaktiviert (im recovery mode)...
Aber das reicht offensichtlich noch nicht. Ich bekomme nach wie vor die 500 Sandbox-Meldungen in dmesg und /var/log/system.log. Was fehlt noch?
Code:
Dec 26 23:49:40 meinrechner kernel[0]: Sandbox: softwareupdated(331) deny(1) system-fsctl 682f
Dec 26 23:51:48 meinrechner sandboxd[168] ([331]): softwareupdated(331) deny system-fsctl 0x682f
Noch ein Beispiel: Ich hab' htop per homebrew installiert, aber immer wenn ich es starte, bekomme ich rund 500 Einträge in dmesg und /var/log/system.log, die wie folgt aussehen:
Code:
Sandbox: htop(580) System Policy: allow(0) mach-prig-task-port 579
Wenn ich das richtig sehe, kann ich die deny-Meldungen "bekämpfen", indem ich ein sandbox-profile anlege. Zu den allow-Meldungen ist mir noch nichts eingefallen. Aber darauf will ich eigentlich gar nicht hinaus. Mir geht's um das prinzipielle Konstrukt der sandbox in einem System wie OS X. So eine sandbox mit Berechtigungen auf einzelnen "Apps" mag ja die richtige Herangehensweise auf einem System sein, zu dem man kein Vertrauen hat. Ich hab' aber Vertrauen zu OS X und dem Zeug, das ich installiere. Ich will diesen sandbox-Krempel deaktivieren! Bislang habe ich rootless deaktiviert (im recovery mode)...
Code:
csrutil disable