Como garantir que o Spotlight indexe toda a minha unidade?

10

Spotlight, é uma ferramenta fantástica. Demorou alguns anos, mas agora eu uso as ferramentas de linha de comando e é incrível. No entanto, hoje descobri que o Spotlight não indexa / Sistema (!). Gostaria que o Spotlight indexasse tudo e dessa maneira eu possa criar uma solução IDS bacana.

Como posso indexar tudo na minha unidade? Consultar a última vez modificada ajudaria muito em segurança.

EDIT: Simplesmente para referência. 

 mdutil -pEsa -i (on|off) volume ...
    Utility to manage Spotlight indexes.
    -p      Publish metadata.
    -i (on|off) Turn indexing on or off.
    -E      Erase and rebuild index.
    -s      Print indexing status.
    -a      Apply command to all volumes.
    -v      Display verbose information.
NOTE: Run as owner for network homes, otherwise run as root.

Edição: Após uma investigação mais aprofundada, a ferramenta que eu queria era radmind

spotlight indexing chiggsy
fonte
Acho que consegui fazê-lo forçando-o usando o usuário root, mdutil -E / Parece óbvio, mas não tenho certeza. Eu posso encontrar o agente ARD e todas essas outras coisas agora ...
chiggsy
@chiggsy Executar holofotes como raiz é possivelmente a pior idéia que você pode ter ... realmente.
Martin Marconcini 15/11
@ Martín Por que você diria uma coisa tão enigmática, meu caro amigo? As instruções da Apple são para seus melhores interesses, certamente, que às vezes variam com o que considero ser meus próprios interesses, sem dúvida, mas certamente você tem algum raciocínio para esta afirmação? Uma resposta, talvez?
chiggsy
1
@chig Porque é um daemon que tem o potencial de ler (e atualizar) metadados de arquivos (horário da última modificação, por exemplo). Conceder a um programa da área de usuário o acesso para potencialmente modificar todo o seu sistema de arquivos em um sistema operacional POSIX, é basicamente considerado uma má idéia. O Spotlight pode ter um grave erro de segurança ou pode ser comprometido de uma maneira que pode simplesmente excluir arquivos em vez de pesquisá-los. Deseja que sua pasta / System seja limpa? É claro que isso foi um pouco extremista (minha afirmação), mas acredito que nenhum usuário sensato jamais tocaria a raiz por algo assim.
Martin Marconcini 16/11/2010
1
@chigg eu não posso lhe dar uma resposta, porque eu não tenho certeza se Spotlight executado como root vontade índice de toda a unidade. Não sei se o Spotlight não está simplesmente programado para não indexar certas coisas. Eu realmente nunca tentei e se você quiser seguir em frente e tentar, toda a comunidade estaria interessada em seus resultados. Ainda considero que não é uma boa ideia, não porque a Apple optou por não fazê-lo, porque consideraria uma ideia perigosa se os holofotes executassem uma raiz e indexassem toda a unidade, mas não sou especialista em segurança nem trabalho nesse campo . Sou programador.
Martin Marconcini

Respostas:

4

De muitas pesquisas, e olhando ao redor, tenho alguns dados sobre esse assunto:

Por padrão, o Spotlight não indexa determinadas pastas:

  • /Sistema
  • / usr
  • arquivos ou diretórios ocultos.
  • Outros arquivos de usuário.

Para adicionar um caminho de arquivo ao Spotlight, você pode executar 

mdimport -r /path  

man mdimport

tem as informações sobre isso.

Agora, como eu estou buscando um IDS pobre de homens com todas essas coisas, esse desejo é impulsionado pelo conhecimento de que o Spotlight indexa minha unidade o tempo todo, que é o que aconteceria de qualquer maneira com outros IDS baseados em host, havia algumas considerações e outras ferramentas para envolver.

Considerações:

O Spotlight mostrará apenas o que o usuário deve ver

É o que a documentação diz. Posso ver as coisas que instalei como raiz, mas não consigo ver meu outro usuário. No entanto, eu posso ver / usr / usr / libexec e a árvore / System. Isso serve.

Arquivos e pastas ocultos não aparecem na pesquisa

Isso será bom quando o RIAA procurar remotamente suas unidades em busca de música sem credenciais adequadas (confie nos seus sentimentos, você sabe que isso é verdade.), Mas não é a melhor notícia nesse caso.

Para concluir, há muito o que fazer para usar essa ferramenta efetivamente. O segredo é que a Apple assina tudo digitalmente.

man codesign

vou falar sobre 

codesign -v file

que não retornará nada se o arquivo não for modificado. Observe que isso não é uma soma de verificação, mas um certificado digital da Apple; portanto, apenas muito dinheiro permitirá que isso seja falsificado.

É claro que pretendia dizer que será bastante seguro e facilmente detectável se um programa binário for alterado.

Não vai parar tudo, mas vai me permitir latir periodicamente

"Alguma coisa mudou?" , execute uma pesquisa de destaque no atributo "kMDItemKind", passe-a através do código de código -v e veja se algo mudou, ou pesquise na hora da modificação ou qualquer outra coisa.

Para abordar a declaração da terra do usuário acima, posso verificar se tenho os mesmos holofotes (copiei o código de código para minha mídia de recuperação). O holofote intacto significa que posso confiar nela para executar suas tarefas comuns. Usar o mdimport -r / path é realmente uma idéia melhor, pois ela será encerrada se for executada como root.

Certamente, há uma questão de segurança aqui, mas, como mencionado acima, o Spotlight indexa várias coisas e mostra o que você deve ver. Sua irmãzinha não conseguirá encontrar sua coleção de nus artísticos do final de 1990, nem os segredos dela, mas a raiz deve poder ver tudo. Existe um sistema direto de autorizações no OS X que determina qual direito um programa pode ter, mas, como isso é praticamente desconhecido para a maioria, eles simplesmente digitam uma senha quando uma caixa é exibida para autenticar algo que foi baixado e é instalada como raiz. Um determinado software de mecanismo de pesquisa faz exatamente isso. Inferno, o sistema é realmente mais seguro do que antes, eu executei o antigo importador python e ele falhou, porque pediu minha senha de administrador e tentou executar o mdimport -r como root! Eu tive que executar isso sozinho.

(Oh, é muito bom com os arquivos python, adorável mesmo)

Espero que isso ajude outra pessoa.

chiggsy
fonte
Acho o comentário da RIAA sobre esta questão um pouco estranho. Parece um pouco com "teorias da conspiração". Além disso, não vejo a relação entre 'codeign' e arquivos ocultos. Caso contrário, a resposta não é ruim.
Ricardo Sanchez-Saez 14/05
Eu moro no Canadá, então a coisa da RIAA é "história recente", de acordo com o Wikileaks. Muito bem documentado, saiu um dia antes da eleição, em 2 de maio. A Espanha também, na verdade, embora tenha recebido as notícias cedo o suficiente para votá-las. Eu teria gostado um pouco mais de tempo, mas esse é um pensamento do passado morto, inexplorado e compassivo. Isso acabou.
chiggsy 14/05
Sim, eu concordo que a RIAA está tentando todo tipo de coisas desagradáveis ​​para encontrar usuários que possuem material protegido por direitos autorais em seus drivers HD, mas duvido que a Apple permita isso (fornecendo um backdoor de remoção para RIAA ou similar) em um Mac OS X de baunilha instalar.
Ricardo Sanchez-Saez
É o seguinte. Eu quero concordar com você. Então eu olho para o TPP, o filho do ACTA. A Apple pode depender de se levantar onde a França cedeu?
21711 chichgsy
Então, aqui estamos dois meses depois, os ISPs estão policiando (voluntariamente, por sugestão da Casa Branca) seus assinantes, e Jobs fez um acordo com os selos. Icloud oferece "anistia". Como eu gostaria de ser morto errado sobre o que eu disse wrt a RIAA :(
chiggsy