Matrix 精选

Matrix 是少数派的写作社区，我们主张分享真实的产品体验，有实用价值的经验与思考。我们会不定期挑选 Matrix 最优质的文章，展示来自用户的最真实的体验和观点。

文章代表作者个人观点，少数派仅对标题和排版略作修改。

前阵子和朋友了聊到 Setapp 的时候，他说他有点担心这个工具，主要是因为它请求的权限比较多。既要监控各 app 的使用时长，又会频繁地连接服务器，万一呢？

他顺便推荐了 Objective-See.com 这个网站，上面的工具都是围绕 Mac 安全的方方面面开发的。所有的工具都是开源的，源码都可以在 Github 上找到。

下面列举的所有 app 都可以通过 brew cask 安装：

• Lulu： 阻止向外访问的防火墙
• Do Not Disturb：防止武力入侵的工具
• KnockKnock：监测 macOS 上各类 app 权限的工具
• TaskExplorer：类似于 Activity Monitor 的全局任务管理工具
• ReiKey：键盘记录监测工具
• Netiquette：监测当前所有连接的工具
• BlockBlock：监测所有反复安装/执行的工具
• RansomWhere?：监测 ransomware 的工具
• OverSight：监测摄像头/麦克风开启情况的工具
• What's Your Sign?：监测软件签名的工具

LuLu

Lulu 在夏威夷方言里，意味着“保护，盾牌”，它是一款免费的防火墙，它的定位是阻止 Mac 上未经授权的 app 访问外部的服务器。目前很多 app 都会集成各类 SDK 将用户的使用数据上传到自己或者第三方的服务器，用以分析用户的使用行为。当然不少有害软件也会趁机把用户的数据窃取后发回自己的服务器。而 Lulu 的定位就是阻止类似的访问外部行为，至于入侵的有害数据，则不是它关心的方面（macOS 内置的防火墙可以阻止入侵，所以两者相辅相成）。

安装后，Lulu 会询问是否白名单之前已经安装的 app 和 Apple 官方的 app，我们可以根据自己的需求来选择。

在 System Preferences 里授予 Lulu 权限之后，它就会自动工作。任何未授权的访问外部行为发生之后，它都会提醒你是否放行，如果我们选择拒绝的话，它就会把这一行为添加到黑名单里；反之则放入白名单。

在 Lulu 的页面内，我们可以看到所有授权的汇总情况，可以根据具体需求对每个授权做调整。

Do Not Disturb

主要监测 MacBook Pro 和 MacBook Air 之类的笔记本被武力入侵，可以和 iOS 上的 Do Not Disturb Companion 绑定。一旦有物理入侵（开盖）发生，DND 会作出以下回应：

1. 在本地发出警告；
2. 像 iOS 上的 companion app 发出报警；
3. 监测本地的入侵行为；
4. 执行用户指定的操作

DND 的安装很简单，现在电脑上安装，然后在 iPhone 上下载指定的 app，然后通过一个二维码即可配对。

一旦有开盖的物理入侵发生，DND 就会按照指定的步骤执行相应操作，比如像下面一样拍照：

KnockKnock

有害软件经常自动安装，比如国内臭名昭著的全家桶安装，A 自动安装 B，B 自动安装 C。KnockKnock 正是为了防止类似的行为而开发的。安装完 KnockKnock 之后，可以用它扫描 macOS 上各种系统权限的请求情况，比如系统启动项等，它会结合外部的有害软件数据库对此作出判断。

如果你喜欢的话，也可以在命令行里使用 KnockKnock：

$ ./KnockKnock.app/Contents/MacOS/KnockKnock -h

KnockKnock 在启动时，会连接 Objective-see 官网检查是否有更新，并不会向外发送数据。这一行为会被上面的 Lulu 发现，也是蛮有意思的。

TaskExplorer

类似于 macOS 上的 Activity Monitor，TaskExplorer 监测各进程的签名/文件打开情况/网络连接情况。

内置的全局搜索功能可以帮助我们通过关键字快速找到关联进程：

ReiKey

不少有害软件会记录用户的键盘敲击记录，获得敏感信息。下图就是典型的键盘记录逻辑 CoreGraphics：用户的敲击记录会被记录下来，这一记录会被发送给入侵者。

ReiKey 就是为了阻止这类入侵行为开发的，不过它只能监测基于 CoreGraphics开发的有害软件。安装完 ReiKey 之后，可以用它对 Mac 进行扫描：

我们也可以在命令行里执行这一工具：

$ /ReiKey.app/Contents/MacOS/ReiKey -scan -pretty

Netiquette

与 Lulu 扫描所有 app 的方式不同，Netiquette 只监测目前活动的所有网络连接，而且更深层。

BlockBlock

前述的 KnockKnock 通过检测系统权限来判断有害软件，而 BlockBlock 则通过检测某些组件的持续安装来提醒用户防范此类有害软件。

RansomWhere?

与 ransomware 谐音，RansomWhere? 专门监测勒索类有害软件（主要是 thwart OS X ransomware）的入侵。

OverSight

很多有害软件会开启用户的摄像头或者麦克风来窃取数据，OverSight 正是这类有害软件的克星。一旦监测到摄像头或者麦克风被调用，OverSight 就会发出警报。

What's Your Sign

几乎所有的软件都有数字签名，这一签名可以用来校验我们安装的软件是否开发者发布/正规渠道获取的，而不是被第三方篡改的软件。我们当然可以通过命令行工具来获得某个软件的数字签名，WhatsYourSign 则把这一过程简化到一个可视化界面里，方便用户校验。

Recap

Objective-see 发布的一系列工具可以帮助我们全方位地保证 Mac 的安全。每一个工具各司其职，组合起来就变得无比强大。这也很像 Unix 的哲学，做且仅做好一件事。如果你喜欢这些工具的话，不妨去他们的 Pateron 页面上打赏吧。

本文所有截图皆源自 Objective-See 官网

> 下载少数派 客户端、关注 少数派公众号，找到数字时代更好的生活方式 🎊

> 特惠、好用的硬件产品，尽在 少数派sspai官方店铺 🛒