Wie kann ich sicherstellen, dass Spotlight mein gesamtes Laufwerk indiziert?

10

Spotlight ist ein fantastisches Werkzeug. Hat einige Jahre gedauert, aber jetzt benutze ich die Kommandozeilen-Tools und es ist großartig. Heute habe ich jedoch festgestellt, dass Spotlight nicht indiziert / System (!) Ich möchte, dass Spotlight alles indiziert , und auf diese Weise kann ich eine raffinierte IDS-Lösung zusammenschustern.

Wie kann ich jedes einzelne Element auf meinem Laufwerk indizieren? Das Abfragen der zuletzt geänderten Zeit würde die Sicherheit erheblich verbessern.

EDIT: Einfach als Referenz.

 mdutil -pEsa -i (on|off) volume ...
    Utility to manage Spotlight indexes.
    -p      Publish metadata.
    -i (on|off) Turn indexing on or off.
    -E      Erase and rebuild index.
    -s      Print indexing status.
    -a      Apply command to all volumes.
    -v      Display verbose information.
NOTE: Run as owner for network homes, otherwise run as root.

EDIT: Nach weiteren Untersuchungen war das Werkzeug, das ich wollte, radmind

kichernd
quelle
Ich glaube, ich habe es zum Laufen gebracht, indem ich es mit dem Root-Benutzer mdutil -E / erzwungen habe. Scheint offensichtlich, aber ich bin mir nicht sicher. Ich kann jetzt ARD Agent und all das andere Zeug finden ...
chiggsy
@chiggsy Das Scheinwerferlicht als Root ist möglicherweise die schlechteste Idee, die Sie sich einfallen lassen könnten ... wirklich.
Martin Marconcini
@ Martín Warum würdest du so eine kryptisch bedrohliche Sache sagen, mein Lieber? Apple-Anweisungen sind sicherlich in ihrem besten Interesse, was manchmal von dem abweicht, was ich als meine eigenen Interessen betrachte, zweifellos, aber Sie haben sicherlich einige Gründe für diese Aussage? Eine Antwort vielleicht?
Chiggsy
1
@chig Da es sich um einen Daemon handelt, der Metadaten für Dateien lesen (und aktualisieren) kann (z. B. zuletzt geänderte Zeit). Es wird grundsätzlich als schlechte Idee angesehen, einem Userland-Programm den Zugriff zu gewähren, um möglicherweise Ihr gesamtes Dateisystem unter einem POSIX-Betriebssystem zu ändern. Spotlight kann einen schwerwiegenden Sicherheitsfehler aufweisen oder so kompromittiert werden, dass Dateien einfach gelöscht werden, anstatt sie zu durchsuchen. Möchten Sie, dass Ihr / System-Ordner gelöscht wird? Natürlich war das ein bisschen extremistisch (meine Aussage), aber ich glaube, dass kein vernünftiger Benutzer jemals die Wurzel für so etwas berühren würde.
Martin Marconcini
1
@chigg kann ich Ihnen keine Antwort geben , weil ich nicht sicher bin , ob Spotlight läuft als root Willen Index den gesamten Antrieb. Ich weiß nicht, ob Spotlight nicht einfach so programmiert ist , dass bestimmte Dinge nicht indiziert werden. Ich habe es nie wirklich versucht, und wenn Sie es versuchen möchten, wäre die gesamte Community an Ihren Ergebnissen interessiert. Ich halte es immer noch für keine gute Idee, nicht weil Apple sich dafür entschieden hat, es nicht zu tun, weil ich es für eine gefährliche Idee halten würde, wenn Spotlight einen Root ausführen und das gesamte Laufwerk indizieren würde, aber ich bin kein Sicherheitsexperte und arbeite auch nicht auf diesem Gebiet . Ich bin Programmierer.
Martin Marconcini

Antworten:

4

Nach eingehender Recherche und Umsicht habe ich einige Daten zu diesem Thema:

Standardmäßig indiziert spotlight bestimmte Ordner nicht:

  • /System
  • / usr
  • versteckte Dateien oder Verzeichnisse.
  • Andere Benutzerdateien.

Um Spotlight einen Dateipfad hinzuzufügen, können Sie ihn ausführen

mdimport -r /path  

man mdimport 

hat die Informationen dazu.

Nun, da ich aus all diesen Dingen ein IDS für einen armen Mann anstrebe, wurde dieser Wunsch durch das Wissen angetrieben, dass Spotlight mein Laufwerk ständig indiziert, was bei anderen hostbasierten IDS ohnehin passieren würde. Es gab einige Überlegungen und andere Werkzeuge einzubeziehen.

Überlegungen:

Spotlight zeigt Ihnen nur, was Ihr Benutzer sehen sollte

Das steht in der Dokumentation. Ich kann Dinge sehen, die ich als root installiert habe, aber ich kann meinen anderen Benutzer nicht sehen. Ich kann jedoch / usr / usr / libexec und den / System-Baum sehen. Das wird gehen.

Versteckte Dateien und Ordner werden bei der Suche nicht angezeigt

Dies ist gut, wenn die RIAA Ihre Laufwerke ohne ordnungsgemäße Anmeldeinformationen aus der Ferne nach Musik durchsucht (vertrauen Sie Ihren Gefühlen, dass dies wahr ist), aber in diesem Fall nicht die beste Nachricht ist.

Zusammenfassend lässt sich sagen, dass es viel zu tun gibt, um dieses Tool effektiv zu nutzen. Das Geheimnis ist, dass Apple alles digital signiert.

man codesign

werde dir davon erzählen

codesign -v file

Dies sollte nichts zurückgeben, wenn die Datei unverändert ist. Beachten Sie, dass dies keine Prüfsumme ist, sondern ein digitales Zertifikat von Apple. Nur mit viel Geld kann dies gefälscht werden.

Ich wollte natürlich sagen, dass es ziemlich sicher und leicht erkennbar ist, wenn ein Binärprogramm geändert wird.

Wird nicht alles aufhalten, aber es wird mir erlauben, regelmäßig zu bellen

"Hat sich gerade etwas geändert?" Führen Sie eine Spotlight-Suche für das Attribut "kMDItemKind" durch, leiten Sie es durch das Codesign -v und prüfen Sie, ob sich etwas geändert hat, oder suchen Sie nach der Änderungszeit oder was auch immer.

Um die obige Userland-Anweisung zu beantworten, kann ich überprüfen, ob ich das gleiche Spotlight habe (ich habe das Codesign auf mein Wiederherstellungsmedium kopiert). Ein intaktes Spotlight bedeutet, dass ich darauf vertrauen kann, dass es seine normalen Aufgaben erledigt. Die Verwendung von mdimport -r / path ist in der Tat eine bessere Idee, da diese beendet wird, wenn sie als root ausgeführt wird.

Natürlich gibt es hier eine Frage der Sicherheit, aber wie oben erwähnt, indiziert Spotlight eine Reihe von Dingen und zeigt Ihnen, was Sie sehen sollten. Ihre kleine Schwester wird weder Ihre Sammlung künstlerischer Akte von Ende 1990 finden können, noch werden Sie ihre Geheimnisse finden können, aber root sollte in der Lage sein, alles zu sehen. In OS X gibt es ein unkompliziertes System von Berechtigungen, das regelt, welches Recht ein Programm haben kann. Da dies den meisten jedoch praktisch unbekannt ist, geben sie einfach ein Kennwort ein, wenn eine Box angezeigt wird, um etwas zu authentifizieren, das sie heruntergeladen haben, und es wird als installiert Wurzel. Eine bestimmte Suchmaschinensoftware macht genau das. Zur Hölle, das System ist tatsächlich sicherer als zuvor. Ich habe den alten Python-Importer ausgeführt und er ist fehlgeschlagen, da er nach meinem Administratorkennwort gefragt und versucht hat, mdimport -r als root auszuführen. Ich musste es selbst laufen lassen.

(Oh, es ist sehr schön mit den Python-Dateien, wirklich schön)

Hoffe das hilft jemand anderem.

kichernd
quelle
Ich finde den RIAA-Kommentar zu dieser Frage etwas seltsam. Es sieht ein bisschen aus wie "Verschwörungstheorien". Außerdem sehe ich keine Beziehung zwischen 'Codesign' und versteckten Dateien. Ansonsten ist die Antwort nicht schlecht.
Ricardo Sanchez-Saez
Ich lebe in Kanada, daher ist die RIAA-Sache laut Wikileaks "jüngste Geschichte". Ziemlich gut dokumentiert, kam am Tag vor der Wahl am 2. Mai heraus. Auch Spanien, obwohl sie die Nachricht früh genug erhielten, um sie abzustimmen. Ich hätte mir etwas mehr Zeit gewünscht, aber das ist ein Gedanke aus der toten, unbegrenzten, mitfühlenden Vergangenheit. Das ist vorbei mit.
Chiggsy
Ja, ich bin damit einverstanden, dass die RIAA alle möglichen bösen Dinge versucht , um Benutzer zu finden, die urheberrechtlich geschütztes Material auf ihren HD-Treibern haben, aber ich bezweifle, dass Apple dies (über die Bereitstellung einer Hintertür zum Entfernen für RIAA oder ähnliches) auf einem Vanilla Mac OS X zulassen würde Installieren.
Ricardo Sanchez-Saez
Hier ist das Ding. Ich möchte dir zustimmen. Dann schaue ich mir das TPP an, den Sohn von ACTA. Apple kann abhängig sein, um dort aufzustehen, wo Frankreich nachgab?
Chiggsy
Also, hier sind wir 2 Monate später, die ISPs überwachen (freiwillig, auf Vorschlag des Weißen Hauses) ihre Abonnenten, und Jobs hat einen Deal mit den Labels gemacht. Icloud bietet "Amnestie" an. Wie ich wünschte, ich hätte mich absolut geirrt, was ich über die RIAA gesagt habe :(
chiggsy