o que é o grupo access_bpf?

27

Alguém sabe o que o grupo "access_bpf" é / faz. Percebi isso quando entrei em Preferências> Usuários e Grupos.

Eu procurei e descobri que isso tem algo a ver com o Wireshark, no entanto, não instalei o programa no meu Mac, portanto, tenho certeza de como o grupo foi adicionado.

wireshark Andrew
fonte
2
boa pesquisa :) o Wireshark é quem faz esse grupo. Como você não se lembra de instalá-lo, pode ter sido outra pessoa.
Ruskes

Respostas:

27

O instalador do Wireshark configura seu sistema para que o usuário que faz a instalação possa capturar o tráfego da rede sem que o programa de captura precise ser executado como root.

A maneira como faz isso é:

  • criar um access_bpfgrupo;
  • coloque o usuário nesse grupo;
  • instale um StartupItem (em versões mais antigas) ou um daemon de inicialização (em versões mais recentes) que, quando o sistema é inicializado, altera as permissões dos dispositivos BPF para rw-rw --- e o proprietário do grupo dos dispositivos BPF para access_bpf;
  • organiza que o daemon StartupItem / launch seja executado naquele momento.

Observe, BTW, que isso também permite capturar tráfego com o Wireshark (ou os programas TShark ou dumpcap do Wireshark) sem precisar executá-los como root, mas também permite capturar o tráfego com tcpdump sem precisar executá-lo como root.


fonte
10

O instalador do Wireshark criará o grupo access_bpf! ou no seu caso quem sabe :)

Como você não se lembra da instalação e não a usa, remova-a.

Para remover o Wireshark da sua máquina, procure os seguintes arquivos no seu Mac e remova-os, se existirem:

sudo rm -r /Applications/Wireshark.app
sudo rm -r /Library/Wireshark
sudo rm /Library/StartupItems/ChmodBPF
sudo rm /Library/LaunchDaemons/org.wireshark.ChmodBPF.plist
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/ChmodBF
sudo rm /Library/Application\ Support/Wireshark/ChmodBPF/org.wireshark.ChmodBPF.plist

Remova também o grupo access_bpf

Ruskes
fonte
8

Navegue para Preferências do Sistema -> Usuários e Grupos -> Desbloqueie-o como Admin -> abra o campo Grupos em Usuários -> selecione e exclua.

Ou via terminal com

sudo dscl . -delete /Groups/access_bpf
leon
fonte
Sim, mas você não respondeu à pergunta, ou seja, para que serve esse grupo ... Outros responderam.
Motti Shneor 18/07/19
Você está certo. Deveria ter sido um comentário à maneira de excluir, não uma resposta. De qualquer forma, meu post original mencionou que era uma resposta a um pôster anterior, mas foi muito editado e duas vezes. Tornando mais claro, no entanto.
Leon
1

Também podem ser os restos de você que foram atingidos por uma unidade java por ataque de malware.

Nesse caso, um bot obterá acesso root, criará uma conta de convidado (talvez oculta) e começará a examinar seu chaveiro.

se você vir mitmproxy sob certificados, ligue para a apple ou outro contato de suporte confiável imediatamente.

eles conversaram comigo por telefone como se nunca tivessem ouvido falar do problema.

o fato ainda é que o MacOS não é perfeito. Se você ainda precisar de ajuda, sinta-se à vontade para escrever.

freqüente
fonte
1
Thanis por responder. O malware geralmente disfarça as coisas com nomes comuns ou esperados. Eu editei um pouco. Você pode considerar o relatório "eles não ouviram". É claro que o suporte profissional não vai divulgar os relatórios de outras pessoas, eles se concentram no seu problema e apenas no seu. Como você mostrou, qualquer frase que eles disserem será publicada publicamente sem o contexto de uma conversa mais longa; portanto, eles também tentam se ater aos fatos sabendo que poderão estar na primeira página do Reddit amanhã.
bmike
0

Esse grupo também será criado com a instalação do Debookee, uma ferramenta analisadora de tráfego de rede nativa do macOS, que usa um Wireshark incorporado.

https://debookee.com

Gummibando
fonte