¿Cómo asegurar que Spotlight indexe todo mi disco?

10

Spotlight, es una herramienta fantástica. Tomó algunos años, pero ahora uso las herramientas de línea de comandos y es increíble. Sin embargo, hoy, descubrí que Spotlight no indexa / Sistema (!) Me gustaría que Spotlight indexara todo y de esa manera puedo improvisar una ingeniosa solución IDS.

¿Cómo puedo indexar cada cosa en mi disco? Consultar la última hora modificada ayudaría mucho en seguridad.

EDITAR: Simplemente como referencia.

 mdutil -pEsa -i (on|off) volume ...
    Utility to manage Spotlight indexes.
    -p      Publish metadata.
    -i (on|off) Turn indexing on or off.
    -E      Erase and rebuild index.
    -s      Print indexing status.
    -a      Apply command to all volumes.
    -v      Display verbose information.
NOTE: Run as owner for network homes, otherwise run as root.

EDITAR: Tras una investigación más profunda, la herramienta que quería era radmind

chiggsy
fuente
Creo que lo hice funcionar forzándolo con el usuario root, mdutil -E / Parece obvio, pero no estoy seguro. Ahora puedo encontrar un agente ARD y todas esas otras cosas ...
chiggsy
@chiggsy Ejecutar la atención como root es posiblemente la peor idea que se te ocurra ... realmente.
Martin Marconcini
@ Martín ¿Por qué dirías algo tan crípticamente ominoso, querido amigo? Las instrucciones de Apple son para sus mejores intereses, sin duda, que a veces varían con lo que percibo como mis propios intereses, sin duda, pero ¿seguramente tiene algún razonamiento para esta afirmación? ¿Una respuesta tal vez?
chiggsy
1
@chig Porque es un demonio que tiene el potencial de leer (y actualizar) metadatos para archivos (por ejemplo, la última hora de modificación). Darle acceso a un programa de usuario puede modificar potencialmente todo su sistema de archivos en un sistema operativo POSIX, básicamente se considera una mala idea. Spotlight podría tener un grave error de seguridad o podría verse comprometido de una manera en la que simplemente podría eliminar archivos en lugar de buscarlos. ¿Desea borrar su carpeta / System? Por supuesto, eso ha sido un poco extremista (mi declaración), pero creo que ningún usuario sensato jamás tocaría la raíz de algo así.
Martin Marconcini el
1
@chigg que no puedo dar una respuesta porque no estoy seguro de si se ejecuta como root Spotlight voluntad índice de toda la unidad. No sé si Spotlight no está simplemente programado para no indexar ciertas cosas. Nunca lo he intentado realmente y si quieres seguir adelante y probarlo, toda la comunidad estaría interesada en tus resultados. Todavía considero que no es una buena idea, no porque Apple eligió no hacerlo, porque lo consideraría una idea peligrosa si Spotlight ejecutara una raíz e indexara todo el disco, pero no soy un experto en seguridad ni trabajo en ese campo . Soy programador
Martin Marconcini el

Respuestas:

4

De una gran cantidad de investigación, y mirando a mi alrededor, tengo algunos datos sobre este tema:

Por defecto, Spotlight no indexará ciertas carpetas:

  • /Sistema
  • / usr
  • archivos o directorios ocultos
  • Otros archivos de usuario.

Para agregar una ruta de archivo a Spotlight, puede ejecutar

mdimport -r /path  

man mdimport 

tiene la información sobre eso.

Ahora, dado que busco un IDS de hombre pobre de todas estas cosas, este deseo es impulsado por el conocimiento de que Spotlight indexa mi disco todo el tiempo, que es lo que sucedería de todos modos con otros IDS basados ​​en host. Hubo algunas consideraciones y otras herramientas para involucrar.

Consideraciones:

Spotlight solo te mostrará lo que tu usuario debería ver

Eso es lo que dice la documentación. Puedo ver cosas que instalé como root, pero no puedo ver a mi otro usuario. Sin embargo, puedo ver / usr / usr / libexec y el árbol / System. Eso servirá.

Los archivos y carpetas ocultos no aparecen en la búsqueda

Esto será bueno cuando la RIAA escanee remotamente sus discos en busca de música sin las credenciales adecuadas (confíe en sus sentimientos, sabe que esto es cierto), pero no es la mejor noticia en este caso.

Para concluir, hay muchas cosas que hacer para usar esta herramienta de manera efectiva. El secreto es que Apple firma todo digitalmente.

man codesign

te contaré sobre

codesign -v file

que no debería devolver nada si el archivo no se modifica. Tenga en cuenta que esto no es una suma de verificación sino un certificado digital de Apple, por lo que solo un gran dinero permitirá que esto sea falso.

Por supuesto, quería decir que será bastante seguro y fácilmente detectable si se cambia un programa binario.

No detendrá todo, pero me permitirá ladrar periódicamente

"¿Algo cambió?" , ejecute una búsqueda destacada en el atributo "kMDItemKind", canalice a través de codeign -v y vea si algo cambió, o busque el tiempo de modificación o lo que sea.

Para abordar la declaración de usuario anterior, puedo verificar si tengo el mismo reflector (he copiado el código de señal en mi medio de recuperación). El reflector intacto significa que puedo confiar en que haga sus tareas habituales. Usar mdimport -r / path es una mejor idea, ya que se cerrará si se ejecuta como root.

Ciertamente hay una cuestión de seguridad aquí, pero como se mencionó anteriormente, Spotlight indexa un montón de cosas y le muestra lo que debe ver. Tu hermanita no podrá encontrar tu colección de desnudos artísticos de finales de 1990, ni podrás encontrar sus secretos, pero root debería poder verlo todo. Hay un sistema directo de autorizaciones en OS X que rige qué derecho puede tener un programa, pero como esto es prácticamente desconocido para la mayoría, simplemente ingresan una contraseña cuando aparece un cuadro para autenticar algo que han descargado, y se instala como raíz. Un cierto software de motores de búsqueda hace exactamente esto. Demonios, el sistema es en realidad más seguro que antes, ejecuté el antiguo importador de Python, y falló, ¡porque me pidió mi contraseña de administrador e intentó ejecutar mdimport -r como root! Tuve que ejecutarlo yo mismo.

(Oh, es muy agradable con los archivos de Python, realmente encantador)

Espero que esto ayude a alguien más.

chiggsy
fuente
El comentario de RIAA sobre esta pregunta me parece un poco extraño. Se parece un poco a las "teorías de la conspiración". Además, no veo la relación entre 'codeign' y archivos ocultos. De lo contrario, la respuesta no es mala.
Ricardo Sanchez-Saez
Vivo en Canadá, así que lo de RIAA es "historia reciente" según Wikileaks. Bastante bien documentado, salió el día antes de las elecciones, el 2 de mayo. España también, en realidad, aunque recibieron la noticia lo suficientemente temprano como para rechazarla. Me hubiera gustado un poco más de tiempo, pero ese es un pensamiento del pasado muerto, sin límites y compasivo. Eso se acabó.
Chiggsy
Sí, estoy de acuerdo en que RIAA está intentando todo tipo de cosas desagradables para encontrar usuarios que tengan material protegido por derechos de autor en sus controladores HD, pero dudo que Apple lo permita (al proporcionar una puerta trasera de eliminación a RIAA o similar) en un Mac OS X de vainilla Instalar en pc.
Ricardo Sanchez-Saez
Aquí está la cosa. Quiero estar de acuerdo contigo Luego miro el TPP, el hijo de ACTA. ¿Se puede depender de Apple para pararse donde Francia se derrumbó?
chiggsy
Entonces, aquí estamos 2 meses después, los ISP están vigilando (voluntariamente, a sugerencia de la Casa Blanca) a sus suscriptores, y Jobs hizo un trato con las etiquetas. Icloud ofrece 'amnistía'. Cómo desearía estar completamente equivocado sobre lo que dije con la RIAA :(
chiggsy