Spotlight, es una herramienta fantástica. Tomó algunos años, pero ahora uso las herramientas de línea de comandos y es increíble. Sin embargo, hoy descubrí que Spotlight no indexa / System (!) Me gustaría que Spotlight indexara todo y de esa manera puedo improvisar una solución ingeniosa de IDS.
¿Cómo puedo indexar cada cosa en mi disco? Consultar la última hora modificada ayudaría mucho en seguridad.
EDITAR: Simplemente como referencia.
mdutil -pEsa -i (on|off) volume ...
Utility to manage Spotlight indexes.
-p Publish metadata.
-i (on|off) Turn indexing on or off.
-E Erase and rebuild index.
-s Print indexing status.
-a Apply command to all volumes.
-v Display verbose information.
NOTE: Run as owner for network homes, otherwise run as root.
EDITAR: Tras una mayor investigación, la herramienta que quería era radmind
De una gran cantidad de investigación y mirando alrededor, tengo algunos datos sobre este tema:
Por defecto, Spotlight no indexará ciertas carpetas:
Para agregar una ruta de archivo a Spotlight, puede ejecutar
mdimport -r /path
man mdimport
tiene la información sobre eso.
Ahora, dado que estoy apuntando a un IDS de hombre pobre de todas estas cosas, este deseo está impulsado por el conocimiento de que Spotlight indexa mi disco todo el tiempo, que es lo que sucedería de todos modos con otros IDS basados en host, hubo algunas consideraciones y otros herramientas para involucrar.
Consideraciones:
Spotlight solo le mostrará lo que su usuario debería ver
Eso es lo que dice la documentación. Puedo ver cosas que instalé como root, pero no puedo ver a mi otro usuario. Sin embargo, puedo ver /usr /usr/libexec y el árbol /System. Eso servirá.
Los archivos y carpetas ocultos no aparecen en la búsqueda
Esto será bueno cuando la RIAA escanee de forma remota sus discos en busca de música sin las credenciales adecuadas (confíe en sus sentimientos, sabe que esto es cierto), pero no es la mejor noticia en este caso.
Para concluir, hay muchas cosas que hacer para usar esta herramienta de manera efectiva. El secreto es que Apple firma todo digitalmente.
man codesign
te hablará de
codesign -v file
que no debería devolver nada si el archivo no se modifica. Tenga en cuenta que esto no es una suma de verificación sino un certificado digital de Apple, por lo que solo una gran cantidad de dinero permitirá que se falsifique.
Por supuesto, quise decir que será bastante seguro y fácilmente detectable si se cambia un programa binario.
No detendrá todo, pero me permitirá ladrar periódicamente.
"¿Ha cambiado algo?" , ejecute una búsqueda destacada en el atributo "kMDItemKind", canalícelo a través de codesign -v y vea si algo cambió, o busque en el momento de la modificación o lo que sea.
Para abordar la declaración de usuario anterior, puedo verificar que tengo el mismo centro de atención (he copiado el codiseño en mis medios de recuperación). El centro de atención intacto significa que puedo confiar en él para realizar sus tareas ordinarias. Usar mdimport -r /path es una mejor idea, ya que se cerrará si se ejecuta como root.
Ciertamente, aquí hay una cuestión de seguridad, pero como se mencionó anteriormente, Spotlight indexa un montón de cosas y le muestra lo que debe ver. Tu hermana pequeña no podrá encontrar tu colección de desnudos artísticos de finales de 1990, ni tú podrás encontrar sus secretos, pero root debería poder verlo todo. Existe un sistema sencillo de autorizaciones en OS X que determina qué derecho puede tener un programa, pero dado que esto es prácticamente desconocido para la mayoría, simplemente ingresan una contraseña cuando aparece un cuadro para autenticar algo que han descargado, y se instala como raíz. Cierto software de motores de búsqueda hace exactamente esto. Demonios, el sistema es en realidad más seguro que antes, ejecuté el antiguo importador de python y falló, porque me pidió mi contraseña de administrador e intentó ejecutar mdimport -r como root. Tuve que ejecutarlo yo mismo.
(Oh, es muy bueno con los archivos de python, realmente encantador)
Espero que esto ayude a alguien más.
Chiggsy
Martín Marconcini
Chiggsy
Martín Marconcini
Martín Marconcini
Chiggsy