Mountain Lion（山狮）守门人作用

根据数字，Mountain Lion 为您的mac带来了 200 多项新功能。虽然其中许多是大多数用户根本不会想到的底层增强功能和安全功能，但其中一项功能可以极大地改变您使用Mac的方式，并且了解它的工作原理将确保您以最安全的方式使用您的计算机。点击跳转以了解您需要了解的有关山狮守门人的所有信息。

论守门人的由来

Gatekeeper（大部分）始于 OS X 10.4 Tiger，苹果在其中引入了一种相对低调的技术，他们称之为文件隔离。虽然您可能没有听说过这个名字，但您肯定熟悉它的用途。

您知道每当您尝试打开从 Internet 下载的文件时出现的对话框吗？上面写着“[AppName].app 是从 Internet 下载的应用程序。您确定要运行它吗？”。那就是文件隔离。

Lion 中的文件隔离提醒您尝试运行的应用程序来自 Internet。

本质上，文件隔离验证系统会标记任何下载的文件（仅通过某些应用程序，例如 safari、Mail 或 iChat）。第一次尝试打开标记的文件时，您会看到一个对话框，询问您是否确定要运行它。如果您选择打开文件，该标志将被删除，并且文件隔离不会再打扰该文件。

这里的目的是为恶意软件提供额外的安全层，迫使您有意识地打开下载的文件，而不是让事情在您背后自行执行。

这里的目的是为恶意软件提供额外的安全层，迫使您有意识地打开下载的文件，而不是让事情在您背后自行执行。但是，文件隔离实际上并没有任何自定义设置，而且在您看到该对话框第一千次之后，肯定很容易出现“无意识的点击”。

下一个合乎逻辑的步骤

进入看门人。在 OS X 10.8 Mountain Lion 中，Apple 推出了一个更可定制和更有用的文件隔离版本。

从表面上看，Gatekeeper 最知名的功能是可以选择根据三个不同的安全层之一运行软件。您可以选择从以下位置获得 OS X 许可软件：

• Mac App Store：此选项相对简单，可能会提供与ios非常相似的体验。从 Mac App Store 下载的软件将无缝执行，而通过浏览器或从电子邮件下载的任何应用程序，例如，可以简单地通过垃圾箱看到自己。

• 任何地方：此选项也非常简单，因为它与 OS X 现在的操作方式最相似（因为即使您选择此设置，您仍然会收到文件隔离警告消息）。随着 Gatekeeper 基本上关闭，您可以从任何您喜欢的地方自由下载和运行应用程序。

• Mac App Store 和已确定的开发人员：稍后我将更深入地讨论成为“已确定的开发人员”意味着什么，但基本上，这个选项似乎提供了安全和自由之间最乐观的结合。它将允许从 MAS 以及 Apple OK'd 开发人员下载的应用程序在您的计算机上运行。

窗口底部的单选按钮已添加到 Mountain Lion 的“安全”首选项窗格中

它是如何工作的？

这就是事情变得有点棘手的地方，但了解 Gatekeeper 在幕后的运作方式将帮助您做出保护 Mac 的最佳决策。

Steven，在 Panic（我最喜欢的开发人员之一）的工程部门，早在 2 月份就发表了一篇博客文章，其中对代码签名的工作原理进行了精彩的（并且写得非常好，用正常的人类语言）解释，但我我会尽力以技术上易于理解的方式简要解释一下。准备好？开始了。

本质上，代码签名是一种应用于可执行数据的加密形式，主要用于验证该应用程序的来源。以下是它与 Gatekeeper 的关系：

1. 签名代码涉及使用一对（“公共”和“私人”）密钥（一个非常大的数字）。私钥的拥有者，开发者，可以“签署”代码，这基本上是证明其真实性的印章。然后可以将公钥（通常由最终用户持有）与私钥进行的签名进行比较。如果这对是匹配的，您可以合理地确定该软件来自开发人员，并且在到达您的计算机之前没有被篡改。从前面提到的恐慌博客文章中：
   

   任何拥有该签名和我的公钥的人都可以几乎 100% 确定数据来自我，并且在此过程中没有被任何第三方修改。数据不能注入任何病毒或漏洞，因为这样签名将不再与数据匹配。

   只有在 Gatekeeper 中选择Anywhere时，才允许不包含签名代码（因此容易出现未检测到的恶意修改）的应用程序在您的 Mac 上运行。

2. 如果相关开发者已向 Apple 注册了开发者 ID，则 Apple 实质上已批准该软件。然后，应用程序的用户可以信任应用程序的来源，同时仍然能够从 App Store 以外的地方（通常直接从开发人员那里）获取软件。当在 Gatekeeper 中选择Mac App Store 和已识别开发者选项时，来自已识别开发者的带有签名代码（以及 App Store 下载）的应用程序可以在您的 Mac 上运行。这是 Mountain Lion 中的默认选项。

3. 如果开发人员是 Apple 开发人员计划的一部分，已签署他的代码并将其提交给 App Store 以供批准，并且 Apple 认为他的应用程序可以安全使用，Apple 将附加额外的签名或加密层。这些应用程序是最安全的，并且是在 Gatekeeper 设置为仅运行 Mac App Store应用程序时唯一允许运行的应用程序。

恶意代码仍然有可能通过，因为开发人员在获得 ID 之前绝不会经过审查。

对于默认选项对 Apple、用户和开发人员的意义，我有很多意见（其中许多都反映在 Steven 在 Panic 博客上的帖子中），但这不是一篇意见文章，所以我会坚持事实.

您需要知道的重要一点是，获得开发人员 ID需要开发人员方面的很少努力。这个小旁注的含义是，虽然 Apple 最初可能已经确定了开发人员，但恶意代码仍然有可能通过，因为开发人员在获得 ID 之前绝不会经过审查。

好消息是，Apple 可以（并且可能会，我们希望尽快）撤销开发者 ID

好消息是，如果应用程序严重违反最终用户的信任，Apple 可以（并且很可能会，我们希望以适当的速度）撤销开发者 ID 。

尝试在 Gatekeeper 建立的边界上运行的应用程序会发生什么？将显示一个警告对话框，让您知道它不符合您的安全设置，您唯一的选择是“确定”按钮。

这可能看起来很冷，但该功能是完全可以覆盖的。随着基于 Mac 的恶意软件变得越来越普遍，它可以成为保护机器的非常有用的工具。

要临时覆盖您的设置并运行不符合要求的应用程序，只需按住 Control 并单击应用程序图标即可。

在运行未经授权的软件时，OS X Mountain Lion 会给您带来冷遇，但该功能是完全可以覆盖的。

最后的想法

我意识到 Gatekeeper 可能是 OS X Mountain Lion 中更无聊或更平凡的更新之一，但对我来说，这是 Apple 世界中一个非常有趣的开发。我们已经获得了在我们的 Mac 机器上使用 iOS 设备上的安全级别的工具，但更重要的是，决定权留给了我们。

理想情况下，您现在比以前更了解 Gatekeeper 和 Mountain Lion 中包含的强大安全性，并且您现在已准备好以适合您需求的最安全方式使用您的系统。让我们知道您计划如何使用 Gatekeeper，甚至是您对 Apple 决定将其包含在此更新中的一般想法。