管理 macOS 的 8 个开源工具

得益于这些出色的开源工具，现在是 macOS 管理员的好时代。

Why and how to handle exceptions in Python Flask

图片来源

图片来自 Unsplash.com，知识共享零许可

最近我经常听到一句话：“现在是 Mac 管理员的好时代！”我认为有很多因素促成了这种感觉，但最大的因素之一是令人难以置信的开源社区开发的用于管理 macOS 的工具的爆炸式增长。以下是我最感兴趣的八种工具。

应用程序部署

The Luggage

The Luggage 是一个包装器，允许您为内部开发的应用程序创建 Apple PKG 格式的软件包。它需要安装 Apple 命令行开发者工具。makefile 的使用允许轻松进行版本控制和探索软件包版本之间的差异。

Munki

Munki 与其说是一个应用程序，不如说是一种想法或一个生态系统。它以定义的方式将导入的应用程序部署到客户端。它的逻辑几乎完全在每台机器上的客户端软件上运行，伪装成 Managed Software Center.app。因此，应用程序和元数据的存储库可以存储在您在环境中感到舒适部署的任何平台上的任何 Web 服务器上。

Munki Managed Software Center

^{Munki 在 Managed Software Center 下运行}

Munki 允许选择性部署特定应用程序，允许某些应用程序“可选安装”，同时还能够“按日期强制安装”任何软件包。Managed Software Center 应用程序可以充当内部应用程序的自助服务门户，可自定义的标题和侧面板链接使其有可能成为您组织的中央跳板。在这个简短的概述中，我无法描述 munki 可以做的所有事情，因此我鼓励您查看文档。

Reposado

Reposado 是一组 Python 工具，模仿 Apple Server 的软件更新缓存服务。如果您想缓存 Apple 软件更新并在内部部署它们以节省带宽，Reposado 非常好。它还允许精细控制，因此您可以选择在新更新发布到生产环境之前将其发布到测试组。它很简单，但在其功能方面非常有效，并且每次更新发布几百兆字节，根据您的环境，它可能会为您节省大量带宽。

Fleet 可见性和客户端管理

Munkireport-php

Munkireport-php 使用 munki 的运行计划和飞行脚本来收集和呈现有关使用 munki 的任何机器的数据。Munkireport-php 是一个令人难以置信的 fleet 可见性工具——从磁盘空间到域绑定，从互联网接口到 munki 运行状态，其仪表板呈现了大量关于从少量机器到大规模 fleet 的任何信息。

Munkireport-php dashboard

^{Munkireport-php 仪表板}

munkireport-php 的另一个好处是其模块化设计，它允许您将自己的项目添加到 munkireport-php，而无需更改底层代码。它旨在通过模块扩展，用户可以轻松创建新模块，前提是它们尚未存在于广泛的默认模块列表中。

Facebook 的 Osquery

Osquery 被描述为“操作系统检测框架”。当我第一次听说它时，我不知道它做什么，但我现在可以将其总结为“很多”。它的 GitHub 在描述它方面做得更好：“osquery 将操作系统公开为高性能关系数据库。这允许您编写基于 SQL 的查询来探索操作系统数据。使用 osquery，SQL 表表示抽象概念，例如正在运行的进程、加载的内核模块、打开的网络连接、浏览器插件、硬件事件或文件哈希。” osquery 的可能性似乎令人难以置信，但它在其项目站点上有一些针对 macOS 攻击的良好查询包。

Google Santa (Beta)

Santa 是一种管理工具，允许在 macOS 系统上对项目进行白名单/黑名单操作。它监控 macOS 的任何二进制文件执行，根据定义的数据库检查二进制文件，并阻止或允许该二进制文件。Santa 几乎具有“淘气或乖巧”的心态……我明白他们的意思了。Santa 以两种主要模式运行：“监控”模式，默认情况下将允许所有二进制文件运行，除非它们被标记为“阻止”，以及“锁定”模式，该模式仅允许执行白名单中的二进制文件。

正如 Santa 的意图和期望声明所说：“没有哪个单一系统或流程可以阻止所有攻击，或提供 100% 的安全性……作为集中管理的组件，Santa 可以帮助阻止恶意软件在更大的机器 fleet 中传播。独立地，Santa 可以帮助分析计算机上运行的内容。”

Zentral (Beta)

Zentral 是我目前关注列表中的第一名，在我的开发环境中，它是一个集成了前面提到的几种工具和许多其他工具的工具。Zentral 是一个集中位置，用于通过 osquery 添加、维护和启动查询。它还支持 Google Santa，充当创建和维护二进制文件的阻止/允许列表的中心点。如果您停在那里，我就被说服了，但它变得更好，因为 zentral 可以从几个不同的客户端管理套件（如 munki）以及商业上可用的解决方案（如 JAMFPro 和 Filewave）收集和解析信息。

Some of zentral's architecture areas

^{zentral 的一些架构领域}

Parts of zentral's ecosystem

^{zentral 生态系统的部分}

社区

这可能不是特定的软件或工具，但在我看来，社区是 macOS 管理员最重要的工具。如果您在本文列出的任何项目上寻求帮助，社区可能会在 MacAdmins Slack 中将您指向其各自的频道。Slack 是与全球 10,000 多名 macOS 管理员联系的好地方。我从未在如此热情和乐于助人的人们组成的社区中工作过。我希望在 Slack 上见到您！

Lucas Hall 在 2017 年西北 LinuxFest 上发表演讲，并将于 2017 年在宾夕法尼亚州立大学 Macadmins 上发表演讲，演讲题目为 在没有 macOS 的情况下管理 macOS（几乎）。

标签

系统管理员