Spotlight ist ein fantastisches Werkzeug. Hat einige Jahre gedauert, aber jetzt benutze ich die Kommandozeilen-Tools und es ist großartig. Heute habe ich jedoch festgestellt, dass Spotlight nicht indiziert / System (!) Ich möchte, dass Spotlight alles indiziert , und auf diese Weise kann ich eine raffinierte IDS-Lösung zusammenschustern.
Wie kann ich jedes einzelne Element auf meinem Laufwerk indizieren? Das Abfragen der zuletzt geänderten Zeit würde die Sicherheit erheblich verbessern.
EDIT: Einfach als Referenz.
mdutil -pEsa -i (on|off) volume ...
Utility to manage Spotlight indexes.
-p Publish metadata.
-i (on|off) Turn indexing on or off.
-E Erase and rebuild index.
-s Print indexing status.
-a Apply command to all volumes.
-v Display verbose information.
NOTE: Run as owner for network homes, otherwise run as root.
EDIT: Nach weiteren Untersuchungen war das Werkzeug, das ich wollte, radmind
Antworten:
Nach eingehender Recherche und Umsicht habe ich einige Daten zu diesem Thema:
Standardmäßig indiziert spotlight bestimmte Ordner nicht:
Um Spotlight einen Dateipfad hinzuzufügen, können Sie ihn ausführen
hat die Informationen dazu.
Nun, da ich aus all diesen Dingen ein IDS für einen armen Mann anstrebe, wurde dieser Wunsch durch das Wissen angetrieben, dass Spotlight mein Laufwerk ständig indiziert, was bei anderen hostbasierten IDS ohnehin passieren würde. Es gab einige Überlegungen und andere Werkzeuge einzubeziehen.
Überlegungen:
Spotlight zeigt Ihnen nur, was Ihr Benutzer sehen sollte
Das steht in der Dokumentation. Ich kann Dinge sehen, die ich als root installiert habe, aber ich kann meinen anderen Benutzer nicht sehen. Ich kann jedoch / usr / usr / libexec und den / System-Baum sehen. Das wird gehen.
Versteckte Dateien und Ordner werden bei der Suche nicht angezeigt
Dies ist gut, wenn die RIAA Ihre Laufwerke ohne ordnungsgemäße Anmeldeinformationen aus der Ferne nach Musik durchsucht (vertrauen Sie Ihren Gefühlen, dass dies wahr ist), aber in diesem Fall nicht die beste Nachricht ist.
Zusammenfassend lässt sich sagen, dass es viel zu tun gibt, um dieses Tool effektiv zu nutzen. Das Geheimnis ist, dass Apple alles digital signiert.
werde dir davon erzählen
Dies sollte nichts zurückgeben, wenn die Datei unverändert ist. Beachten Sie, dass dies keine Prüfsumme ist, sondern ein digitales Zertifikat von Apple. Nur mit viel Geld kann dies gefälscht werden.
Ich wollte natürlich sagen, dass es ziemlich sicher und leicht erkennbar ist, wenn ein Binärprogramm geändert wird.
Wird nicht alles aufhalten, aber es wird mir erlauben, regelmäßig zu bellen
"Hat sich gerade etwas geändert?" Führen Sie eine Spotlight-Suche für das Attribut "kMDItemKind" durch, leiten Sie es durch das Codesign -v und prüfen Sie, ob sich etwas geändert hat, oder suchen Sie nach der Änderungszeit oder was auch immer.
Um die obige Userland-Anweisung zu beantworten, kann ich überprüfen, ob ich das gleiche Spotlight habe (ich habe das Codesign auf mein Wiederherstellungsmedium kopiert). Ein intaktes Spotlight bedeutet, dass ich darauf vertrauen kann, dass es seine normalen Aufgaben erledigt. Die Verwendung von mdimport -r / path ist in der Tat eine bessere Idee, da diese beendet wird, wenn sie als root ausgeführt wird.
Natürlich gibt es hier eine Frage der Sicherheit, aber wie oben erwähnt, indiziert Spotlight eine Reihe von Dingen und zeigt Ihnen, was Sie sehen sollten. Ihre kleine Schwester wird weder Ihre Sammlung künstlerischer Akte von Ende 1990 finden können, noch werden Sie ihre Geheimnisse finden können, aber root sollte in der Lage sein, alles zu sehen. In OS X gibt es ein unkompliziertes System von Berechtigungen, das regelt, welches Recht ein Programm haben kann. Da dies den meisten jedoch praktisch unbekannt ist, geben sie einfach ein Kennwort ein, wenn eine Box angezeigt wird, um etwas zu authentifizieren, das sie heruntergeladen haben, und es wird als installiert Wurzel. Eine bestimmte Suchmaschinensoftware macht genau das. Zur Hölle, das System ist tatsächlich sicherer als zuvor. Ich habe den alten Python-Importer ausgeführt und er ist fehlgeschlagen, da er nach meinem Administratorkennwort gefragt und versucht hat, mdimport -r als root auszuführen. Ich musste es selbst laufen lassen.
(Oh, es ist sehr schön mit den Python-Dateien, wirklich schön)
Hoffe das hilft jemand anderem.
quelle