osquery在macOS 15 Sequoia中ALF表查询失效问题分析
在macOS系统监控领域,osquery作为一款强大的端点检测工具,其内置的ALF(Application Layer Firewall)表一直为安全团队提供着关键的防火墙状态信息。然而,随着macOS 15 Sequoia(版本24A5309e)的发布,用户发现这一功能出现了异常。
问题现象
当用户在macOS 15系统上运行SELECT * FROM alf;查询时,无法获取任何结果。这与之前版本的行为形成鲜明对比,在macOS 14及更早版本中,该查询能够正常返回防火墙配置信息。
根本原因
深入分析发现,问题根源在于macOS 15系统架构的变更。osquery的ALF表实现原本依赖于/Library/Preferences/com.apple.alf.plist配置文件来获取防火墙状态数据。然而在Sequoia版本中,苹果公司移除了这一传统配置文件,导致查询机制失效。
技术背景
Application Layer Firewall是macOS内置的重要安全组件,负责管理应用程序的网络连接权限。在早期版本中,系统通过plist文件存储这些配置,而新版本可能采用了更现代化的配置管理方式。
解决方案探索
经过技术团队研究,发现macOS 15中可以通过替代方案获取防火墙信息:
-
系统分析工具:使用
system_profiler SPFirewallDataType命令可以获取完整的防火墙配置信息,包括模式设置、应用程序权限、日志记录状态等。 -
系统配置框架:类似于secureboot的实现方式,可以考虑通过系统配置框架来获取这些数据,这需要osquery进行相应的适配更新。
影响范围
该问题主要影响:
- 运行macOS 15 Sequoia Beta 5及以上版本的系统
- 使用osquery 5.12.1版本进行端点监控的环境
- 依赖ALF表进行安全审计的工作流程
临时解决方案
在官方修复发布前,建议用户可以通过以下方式临时获取防火墙状态:
- 通过命令行工具手动收集数据
- 开发自定义表扩展来适配新系统
- 考虑降级到兼容版本(如非必要不建议)
未来展望
随着macOS系统持续演进,类似的基础设施变更可能会越来越多。这提醒我们安全监控工具需要:
- 建立更灵活的数据采集机制
- 加强对系统API的适配能力
- 提高对系统版本差异的兼容性处理
安全团队应密切关注osquery的后续更新,及时获取对macOS 15的完整支持。同时,这也是一次重新评估端点监控策略的契机,考虑构建更加健壮的多层次监控体系。
kernelopenEuler内核是openEuler操作系统的核心,既是系统性能与稳定性的基石,也是连接处理器、设备与服务的桥梁。C098
baihu-dataset异构数据集“白虎”正式开源——首批开放10w+条真实机器人动作数据,构建具身智能标准化训练基座。00
mindquantumMindQuantum is a general software library supporting the development of applications for quantum computation.Python058
PaddleOCR-VLPaddleOCR-VL 是一款顶尖且资源高效的文档解析专用模型。其核心组件为 PaddleOCR-VL-0.9B,这是一款精简却功能强大的视觉语言模型(VLM)。该模型融合了 NaViT 风格的动态分辨率视觉编码器与 ERNIE-4.5-0.3B 语言模型,可实现精准的元素识别。Python00
GLM-4.7GLM-4.7上线并开源。新版本面向Coding场景强化了编码能力、长程任务规划与工具协同,并在多项主流公开基准测试中取得开源模型中的领先表现。 目前,GLM-4.7已通过BigModel.cn提供API,并在z.ai全栈开发模式中上线Skills模块,支持多模态任务的统一规划与协作。Jinja00
AgentCPM-Explore没有万亿参数的算力堆砌,没有百万级数据的暴力灌入,清华大学自然语言处理实验室、中国人民大学、面壁智能与 OpenBMB 开源社区联合研发的 AgentCPM-Explore 智能体模型基于仅 4B 参数的模型,在深度探索类任务上取得同尺寸模型 SOTA、越级赶上甚至超越 8B 级 SOTA 模型、比肩部分 30B 级以上和闭源大模型的效果,真正让大模型的长程任务处理能力有望部署于端侧。Jinja00
项目优选
kernel
docs
ohos_react_native
flutter_flutter
pytorch
ops-mathkernel
nop-entropytorchair
RuoYi-Vue3