A partir de una gran cantidad de investigaciones, y mirando alrededor, tengo algunos datos sobre este tema:
De forma predeterminada, Spotlight no indexará ciertas carpetas:
- / System
- / usr
- archivos o directorios ocultos.
- Otros archivos de usuario.
Para agregar una ruta de archivo a Spotlight puede ejecutar
mdimport -r /path
man mdimport
tiene la información sobre eso.
Ahora, dado que estoy apuntando a un IDS de un hombre pobre a partir de todas estas cosas, este deseo está impulsado por el conocimiento de que Spotlight indexa mi disco todo el tiempo, que es lo que sucedería de todos modos con otros IDS basados en host, hubo algunos Consideraciones y otras herramientas para involucrar.
Consideraciones:
Spotlight solo te mostrará lo que tu usuario debería ver
Eso es lo que dice la documentación. Puedo ver cosas que instalé como root, pero no puedo ver a mi otro usuario. Sin embargo, puedo ver / usr / usr / libexec y el árbol del sistema. Eso va a hacer.
Los archivos y carpetas ocultos no aparecen en la búsqueda
Esto será bueno cuando RIAA analice remotamente sus discos en busca de música sin las credenciales adecuadas (confíe en que sus sentimientos saben que esto es cierto), pero no es la mejor noticia en este caso.
Para concluir, hay muchas cosas que hacer para usar esta herramienta de manera efectiva. El secreto es que Apple firma todo digitalmente.
man codesign
te contará acerca de
codesign -v file
que no debería devolver nada si el archivo no está modificado. Tenga en cuenta que esto no es una suma de comprobación, sino un certificado digital de Apple, por lo que solo una gran cantidad de dinero permitirá que se falsifique.
Por supuesto, quería decir que será bastante seguro y fácilmente detectable si se cambia un programa binario.
No detendré todo, pero me permitirá ladrar periódicamente
"¿Algo acaba de cambiar?" , realice una búsqueda destacada en el atributo "kMDItemKind", diríjala a través de codesign -v y vea si algo cambió, o busque el tiempo de modificación o lo que sea.
Para abordar la declaración de usuario anterior, puedo verificar si tengo el mismo foco (he copiado el código de mi dispositivo de recuperación). El foco intacto significa que puedo confiar en que haga las tareas habituales. El uso de mdimport -r / path es una mejor idea, ya que se cerrará si se ejecuta como root.
Ciertamente, hay una cuestión de seguridad aquí, pero como se mencionó anteriormente, Spotlight indexa un montón de cosas y te muestra lo que debes ver. Tu hermana pequeña no podrá encontrar tu colección de desnudos artísticos de finales de 1990, ni podrás encontrar sus secretos, pero la raíz debería poder ver todo. Existe un sistema sencillo de autorizaciones en OS X que rige qué derecho puede tener un programa, pero como la mayoría de las personas lo desconocen, simplemente ingresan una contraseña cuando aparece un cuadro para autenticar algo que han descargado, y se instala como raíz. Un cierto software de motores de búsqueda hace exactamente esto. Demonios, el sistema es realmente más seguro que antes, ejecuté el antiguo importador de Python, y falló, porque me pidió la contraseña de administrador e intenté ejecutar mdimport -r como root. Tuve que correrlo yo mismo.
(Oh, es muy bonito con los archivos de Python, realmente encantador)
Espero que esto ayude a alguien más.