Mac Security工具使用总结-白红宇

Mac Security工具使用总结

阅读量：2346 次

发布时间：2019-05-10

本文共 5024 字，大约阅读时间需要 16 分钟。

Mac Security工具使用总结

Security是Mac系统中钥匙串和安全模块的命令行管理工具，（图形化工具为Keychain Access.app）。钥匙串（Keychain）实质上就是一个用于存放证书、密钥、密码等安全认证实体的仓库，在计算机中保存为一个.keychain的文件，默认存放在以下目录中（使用这几个目录中的钥匙串时不需要写路径，直接用文件名即可，Security工具会自动搜索）：

~/Library/Keychains/

/Library/Keychains/

/Network/Library/Keychains/

(iOS系统: /var/Keychains/keychain-2.db )

Security API文档：

命令行工具参考文档：

使用手册:

命令行执行 man security

Security命令

语法如下：

security [-hilqv] [-p prompt] [command] [command options] [command args]

[subcommand] -h 帮助，无命令参数时查看所有命令，带命令参数时显示该命令的使用方法

-i 交互模式

-p 进入交互模式，使用自定义提示符

-q 减少信息输出

-v 增加信息输出

-l security退出前，调用/usr/bin/leaks -nocontext检查执行的命令是否有泄漏

子命令(command)

子命令列表如下，后面有关子命令的说明中都将忽略命令语法前面的security [-hilav] [-p prompt]。

help

create-keychain 创建钥匙串并加入搜索列表

list-keychains 显示或设置钥匙串搜索列表

default-keychain 显示或设置默认的钥匙串

delete-keychain 删除钥匙串并从搜索列表移除

lock-keychain 锁定制定的钥匙串

unlock-keychain 解锁制定的钥匙串

set-keychain-settings 设置钥匙串配置

set-keychain-password 设置钥匙串密码

dump-keychain 显示一个或多个钥匙串的内容

create-keypair 创建非对称密钥对

add-generic-password 向钥匙串中添加通用密码项

find-generic-password 查找通用密码项

delete-generic-password 删除通用密码项

add-internet-password 向钥匙串中添加网络密码项

find-internet-password 查找网络密码项

delete-internet-password 删除网络密码项

add-certificates 向钥匙串种添加证书

find-certificate 查找证书

delete-certificate 从钥匙串种删除证书

find-identity 查找认证实体（证书+私钥）

set-identity-preference

get-identity-preference

create-db

export

import

cms 编码或解码CMS信息（PKCS#7）

install-mds 安装/重装MDS 数据库

add-trusted-cert 添加可信证书（只包含公钥，无私钥）

remove-trusted-cert 删除可信证书

dump-trusted-setting 显示信任配置

user-trust-settings-enable 显示或管理用户级别的信任配置

trust-settings-export 导出信任配置

trust-settings-import 导入信任配置

verify-cert 验证证书

authorize 授权操作

authorizationdb 变更授权策略数据库

execute-with-privileges 带特权执行工具

leaks 在本进程中运行/usr/bin/leaks

error 显示指定错误码的描述信息

create-filevaultmaster-keychain 创建一个带密钥对的钥匙串，用于FileVault恢复（FileVault是苹果系统里的一项保密机制，会自动透明地对主目录的内容进行实时加密和解密）

创建钥匙串

create-keychain [-P] [-p ] [keychainFiles…]

-p 设置新创建的钥匙串的密码

-P 调用SecurityAgent图形化程序设置密码

解锁钥匙串

unlock-keychain [-u] [-p ] [keychainFile]

-u 启动GUI输入钥匙串密码

-p 指定钥匙串密码

不带任何参数时命令行交互方式提示输入密码

锁定钥匙串

lock-keychain [-a | ]

-a 锁定所有钥匙串

如果指定了具体钥匙串，则只锁定那一个钥匙串

什么参数都不带时，锁定默认钥匙串

更改钥匙串配置

set-keychain-settings [-lu] [-t <timeout_seconds>] [keychain]

-l 系统睡眠时锁定

-u 一定时间周期后锁定

-t <timeout_seconds> 闲置指定时间后锁定，省略这个选项则没有延时

向钥匙串中添加钥匙（认证实体）

import [-k ] [-t ] [-f format] [-w] [-P passphrase] [options…]

-k 指定要导入项目到哪个钥匙串中

-t 指定要导入的项目类型，可取值为： pub | priv | session | cert | agg

-w 标明包装了私钥，导入时要解开

-x 标明导入后，私钥无法提取私钥

-P 直接输入导入项目密码，默认会使用GUI输入密码

-a 指定键值对属性，可以重复出现多次

-A 所有程序可以使用导入的项目

-T 指定可以使用导入项目的程序，可以重复出现多次

security create-keychain -p 123456 certsOfAppBuild.keychain

security unlock-keychain -p 123456 certsOfAppBuild.keychain

security -k certsOfAppBuild.keychain import xxx.p12 -P 111111 -T /usr/bin/codesign

…sign operation…

security delete-keychain certsOfAppBuild.keychian

删除证书

delete-certificate [-c name] [-Z hash] [-t] [keychain…]

-c 按common name删除证书

-Z 按SHA1哈希值删除证书

-t 同时删除该证书的用户信任设置

要删除的证书必须能够唯一确定，如果未指定钥匙串则是用默认搜索列表中的所有钥匙串

查找认证实体（证书＋私钥）

find-identity [-p policy] [-s string] [-v] [keychain…]

-p 按指定用途策略查找，可重复出现以指定多项，可用值有： basic, ssl-client, ssl-server, smime, eap, ipsec, ichat, codesigning, sys-default, sys-kerberos-kdc ,macappstore, appleID

-s 为-p指定的策略提供参数

-v 只显示有效的，默认显示所有。

如果未指定keychain，则使用默认的搜索列表

security find-identity -v -p codesigning #显示默认搜索列表中有效地认证实体

显示或设置钥匙串搜索列表

list-keychain [-d user|system|common|dynamic] [-s [keychain…]]

-d 使用指定的preference domain

-s 设置钥匙串搜索列表

不带任何参数时，显示搜索列表

输出钥匙串内容

dump-keychain [-adir] [keychain…]

-a 输出访问控制列表