Rc.common

在启动过程中，macOS 执行 source /etc/rc.common，该 shell 脚本包含了各种实用程序函数。
该文件还定义了用于处理命令行参数和收集系统设置的例程，因此建议在启动项脚本 的开头包含该文件。
在 macOS 和 OS X 中，它支持启动代理和启动守护进程，不推荐该技术但目前仍在使用。
攻击者可以利用 rc.common 文件来隐藏代码以实现持久化，在每次重新启动时，这些代码将以根用户的身份 执行。

缓解

限制用户帐户的权限，只有授权用户才能编辑 rc.common 文件。

检测

可以监视 /etc/rc.common 文件以检测公司策略的更改。
监视 rc.common 脚本引发的进程执行， 以查找异常或未知的应用程序和行为。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn