Apple propone anche un altro modo per autenticare se il processo di connessione ha permessi per chiamare un metodo XPC esposto.
Quando un'applicazione ha bisogno di eseguire azioni come utente privilegiato, invece di eseguire l'app come utente privilegiato, di solito installa come root un HelperTool come servizio XPC che può essere chiamato dall'app per eseguire quelle azioni. Tuttavia, l'app che chiama il servizio dovrebbe avere abbastanza autorizzazione.
ShouldAcceptNewConnection sempre YES
Un esempio può essere trovato in EvenBetterAuthorizationSample. In App/AppDelegate.m prova a connettersi al HelperTool. E in HelperTool/HelperTool.m la funzione shouldAcceptNewConnectionnon controllerà nessuno dei requisiti indicati in precedenza. Restituirà sempre YES:
- (BOOL)listener:(NSXPCListener *)listener shouldAcceptNewConnection:(NSXPCConnection *)newConnection
// Called by our XPC listener when a new connection comes in. We configure the connection
// with our protocol and ourselves as the main object.
{
assert(listener == self.listener);
#pragma unused(listener)
assert(newConnection != nil);
newConnection.exportedInterface = [NSXPCInterface interfaceWithProtocol:@protocol(HelperToolProtocol)];
newConnection.exportedObject = self;
[newConnection resume];
return YES;
}
Per ulteriori informazioni su come configurare correttamente questo controllo:
Tuttavia, c'è una autorizzazione in corso quando viene chiamato un metodo dal HelperTool.
La funzione applicationDidFinishLaunching da App/AppDelegate.m creerà un riferimento di autorizzazione vuoto dopo che l'app è stata avviata. Questo dovrebbe sempre funzionare.
Poi, cercherà di aggiungere alcuni diritti a quel riferimento di autorizzazione chiamando setupAuthorizationRights:
- (void)applicationDidFinishLaunching:(NSNotification *)note
{
[...]
err = AuthorizationCreate(NULL, NULL, 0, &self->_authRef);
if (err == errAuthorizationSuccess) {
err = AuthorizationMakeExternalForm(self->_authRef, &extForm);
}
if (err == errAuthorizationSuccess) {
self.authorization = [[NSData alloc] initWithBytes:&extForm length:sizeof(extForm)];
}
assert(err == errAuthorizationSuccess);
// If we successfully connected to Authorization Services, add definitions for our default
// rights (unless they're already in the database).
if (self->_authRef) {
[Common setupAuthorizationRights:self->_authRef];
}
[self.window makeKeyAndOrderFront:self];
}
La funzione setupAuthorizationRights da Common/Common.m memorizzerà nel database di autorizzazione /var/db/auth.db i diritti dell'applicazione. Nota come aggiungerà solo i diritti che non sono ancora nel database:
+ (void)setupAuthorizationRights:(AuthorizationRef)authRef
// See comment in header.
{
assert(authRef != NULL);
[Common enumerateRightsUsingBlock:^(NSString * authRightName, id authRightDefault, NSString * authRightDesc) {
OSStatus blockErr;
// First get the right. If we get back errAuthorizationDenied that means there's
// no current definition, so we add our default one.
blockErr = AuthorizationRightGet([authRightName UTF8String], NULL);
if (blockErr == errAuthorizationDenied) {
blockErr = AuthorizationRightSet(
authRef, // authRef
[authRightName UTF8String], // rightName
(__bridge CFTypeRef) authRightDefault, // rightDefinition
(__bridge CFStringRef) authRightDesc, // descriptionKey
NULL, // bundle (NULL implies main bundle)
CFSTR("Common") // localeTableName
);
assert(blockErr == errAuthorizationSuccess);
} else {
// A right already exists (err == noErr) or any other error occurs, we
// assume that it has been set up in advance by the system administrator or
// this is the second time we've run. Either way, there's nothing more for
// us to do.
}
}];
}
La funzione enumerateRightsUsingBlock è quella utilizzata per ottenere i permessi delle applicazioni, che sono definiti in commandInfo:
static NSString * kCommandKeyAuthRightName = @"authRightName";
static NSString * kCommandKeyAuthRightDefault = @"authRightDefault";
static NSString * kCommandKeyAuthRightDesc = @"authRightDescription";
+ (NSDictionary *)commandInfo
{
static dispatch_once_t sOnceToken;
static NSDictionary * sCommandInfo;
dispatch_once(&sOnceToken, ^{
sCommandInfo = @{
NSStringFromSelector(@selector(readLicenseKeyAuthorization:withReply:)) : @{
kCommandKeyAuthRightName : @"com.example.apple-samplecode.EBAS.readLicenseKey",
kCommandKeyAuthRightDefault : @kAuthorizationRuleClassAllow,
kCommandKeyAuthRightDesc : NSLocalizedString(
@"EBAS is trying to read its license key.",
@"prompt shown when user is required to authorize to read the license key"
)
},
NSStringFromSelector(@selector(writeLicenseKey:authorization:withReply:)) : @{
kCommandKeyAuthRightName : @"com.example.apple-samplecode.EBAS.writeLicenseKey",
kCommandKeyAuthRightDefault : @kAuthorizationRuleAuthenticateAsAdmin,
kCommandKeyAuthRightDesc : NSLocalizedString(
@"EBAS is trying to write its license key.",
@"prompt shown when user is required to authorize to write the license key"
)
},
NSStringFromSelector(@selector(bindToLowNumberPortAuthorization:withReply:)) : @{
kCommandKeyAuthRightName : @"com.example.apple-samplecode.EBAS.startWebService",
kCommandKeyAuthRightDefault : @kAuthorizationRuleClassAllow,
kCommandKeyAuthRightDesc : NSLocalizedString(
@"EBAS is trying to start its web service.",
@"prompt shown when user is required to authorize to start the web service"
)
}
};
});
return sCommandInfo;
}
+ (NSString *)authorizationRightForCommand:(SEL)command
// See comment in header.
{
return [self commandInfo][NSStringFromSelector(command)][kCommandKeyAuthRightName];
}
+ (void)enumerateRightsUsingBlock:(void (^)(NSString * authRightName, id authRightDefault, NSString * authRightDesc))block
// Calls the supplied block with information about each known authorization right..
{
[self.commandInfo enumerateKeysAndObjectsUsingBlock:^(id key, id obj, BOOL *stop) {
#pragma unused(key)
#pragma unused(stop)
NSDictionary * commandDict;
NSString * authRightName;
id authRightDefault;
NSString * authRightDesc;
// If any of the following asserts fire it's likely that you've got a bug
// in sCommandInfo.
commandDict = (NSDictionary *) obj;
assert([commandDict isKindOfClass:[NSDictionary class]]);
authRightName = [commandDict objectForKey:kCommandKeyAuthRightName];
assert([authRightName isKindOfClass:[NSString class]]);
authRightDefault = [commandDict objectForKey:kCommandKeyAuthRightDefault];
assert(authRightDefault != nil);
authRightDesc = [commandDict objectForKey:kCommandKeyAuthRightDesc];
assert([authRightDesc isKindOfClass:[NSString class]]);
block(authRightName, authRightDefault, authRightDesc);
}];
}
Questo significa che alla fine di questo processo, i permessi dichiarati all'interno di commandInfo saranno memorizzati in /var/db/auth.db. Nota come lì puoi trovare per ogni metodo che richiederà autenticazione, nome del permesso e il kCommandKeyAuthRightDefault. Quest'ultimo indica chi può ottenere questo diritto.
Ci sono diversi ambiti per indicare chi può accedere a un diritto. Alcuni di essi sono definiti in AuthorizationDB.h (puoi trovare tutti qui), ma in sintesi:
Nome
Valore
Descrizione
kAuthorizationRuleClassAllow
allow
Chiunque
kAuthorizationRuleClassDeny
deny
Nessuno
kAuthorizationRuleIsAdmin
is-admin
L'utente attuale deve essere un admin (all'interno del gruppo admin)
kAuthorizationRuleAuthenticateAsSessionUser
authenticate-session-owner
Chiedi all'utente di autenticarsi.
kAuthorizationRuleAuthenticateAsAdmin
authenticate-admin
Chiedi all'utente di autenticarsi. Deve essere un admin (all'interno del gruppo admin)
kAuthorizationRightRule
rule
Specifica le regole
kAuthorizationComment
comment
Specifica alcuni commenti extra sul diritto
Verifica dei Diritti
In HelperTool/HelperTool.m la funzione readLicenseKeyAuthorization controlla se il chiamante è autorizzato a eseguire tale metodo chiamando la funzione checkAuthorization. Questa funzione verificherà che i authData inviati dal processo chiamante abbiano un formato corretto e poi controllerà cosa è necessario per ottenere il diritto di chiamare il metodo specifico. Se tutto va bene, l'errore restituito sarà nil:
- (NSError *)checkAuthorization:(NSData *)authData command:(SEL)command
{
[...]
// First check that authData looks reasonable.
error = nil;
if ( (authData == nil) || ([authData length] != sizeof(AuthorizationExternalForm)) ) {
error = [NSError errorWithDomain:NSOSStatusErrorDomain code:paramErr userInfo:nil];
}
// Create an authorization ref from that the external form data contained within.
if (error == nil) {
err = AuthorizationCreateFromExternalForm([authData bytes], &authRef);
// Authorize the right associated with the command.
if (err == errAuthorizationSuccess) {
AuthorizationItem oneRight = { NULL, 0, NULL, 0 };
AuthorizationRights rights = { 1, &oneRight };
oneRight.name = [[Common authorizationRightForCommand:command] UTF8String];
assert(oneRight.name != NULL);
err = AuthorizationCopyRights(
authRef,
&rights,
NULL,
kAuthorizationFlagExtendRights | kAuthorizationFlagInteractionAllowed,
NULL
);
}
if (err != errAuthorizationSuccess) {
error = [NSError errorWithDomain:NSOSStatusErrorDomain code:err userInfo:nil];
}
}
if (authRef != NULL) {
junk = AuthorizationFree(authRef, 0);
assert(junk == errAuthorizationSuccess);
}
return error;
}
Nota che per controllare i requisiti per ottenere il diritto di chiamare quel metodo, la funzione authorizationRightForCommand controllerà semplicemente l'oggetto commentato in precedenza commandInfo. Poi, chiamerà AuthorizationCopyRights per verificare se ha i diritti per chiamare la funzione (nota che i flag consentono l'interazione con l'utente).
In questo caso, per chiamare la funzione readLicenseKeyAuthorization, il kCommandKeyAuthRightDefault è definito come @kAuthorizationRuleClassAllow. Quindi chiunque può chiamarlo.
Informazioni sul DB
È stato menzionato che queste informazioni sono memorizzate in /var/db/auth.db. Puoi elencare tutte le regole memorizzate con:
Puoi trovare tutte le configurazioni dei permessiqui, ma le combinazioni che non richiederanno interazione da parte dell'utente sarebbero:
'authenticate-user': 'false'
Questa è la chiave più diretta. Se impostata su false, specifica che un utente non ha bisogno di fornire autenticazione per ottenere questo diritto.
Questo viene utilizzato in combinazione con una delle 2 sotto o indicando un gruppo a cui l'utente deve appartenere.
'allow-root': 'true'
Se un utente opera come utente root (che ha permessi elevati), e questa chiave è impostata su true, l'utente root potrebbe potenzialmente ottenere questo diritto senza ulteriore autenticazione. Tuttavia, tipicamente, ottenere lo stato di utente root richiede già autenticazione, quindi questo non è uno scenario di "nessuna autenticazione" per la maggior parte degli utenti.
'session-owner': 'true'
Se impostata su true, il proprietario della sessione (l'utente attualmente connesso) otterrebbe automaticamente questo diritto. Questo potrebbe bypassare ulteriori autenticazioni se l'utente è già connesso.
'shared': 'true'
Questa chiave non concede diritti senza autenticazione. Invece, se impostata su true, significa che una volta che il diritto è stato autenticato, può essere condiviso tra più processi senza che ciascuno debba ri-autenticarsi. Ma la concessione iniziale del diritto richiederebbe comunque autenticazione a meno che non sia combinata con altre chiavi come 'authenticate-user': 'false'.
Se trovi la funzione: [HelperTool checkAuthorization:command:] è probabile che il processo stia utilizzando lo schema di autorizzazione precedentemente menzionato:
Se questa funzione chiama funzioni come AuthorizationCreateFromExternalForm, authorizationRightForCommand, AuthorizationCopyRights, AuhtorizationFree, sta utilizzando EvenBetterAuthorizationSample.
Controlla il /var/db/auth.db per vedere se è possibile ottenere permessi per chiamare alcune azioni privilegiate senza interazione dell'utente.
Protocol Communication
Poi, devi trovare lo schema del protocollo per poter stabilire una comunicazione con il servizio XPC.
La funzione shouldAcceptNewConnection indica il protocollo che viene esportato:
In questo caso, abbiamo lo stesso di EvenBetterAuthorizationSample, controlla questa riga.
Sapendo il nome del protocollo utilizzato, è possibile dumpare la sua definizione dell'intestazione con:
