¿Cómo asegurar que Spotlight indexe todo mi disco?

Spotlight, es una herramienta fantástica. Tomó algunos años, pero ahora uso las herramientas de línea de comandos y es increíble. Sin embargo, hoy descubrí que Spotlight no indexa / System (!) Me gustaría que Spotlight indexara todo y de esa manera puedo improvisar una solución ingeniosa de IDS.

¿Cómo puedo indexar cada cosa en mi disco? Consultar la última hora modificada ayudaría mucho en seguridad.

EDITAR: Simplemente como referencia.

 mdutil -pEsa -i (on|off) volume ...
    Utility to manage Spotlight indexes.
    -p      Publish metadata.
    -i (on|off) Turn indexing on or off.
    -E      Erase and rebuild index.
    -s      Print indexing status.
    -a      Apply command to all volumes.
    -v      Display verbose information.
NOTE: Run as owner for network homes, otherwise run as root.

EDITAR: Tras una mayor investigación, la herramienta que quería era radmind

Creo que lo hice funcionar al forzarlo a usar el usuario raíz, mdutil -E / Parece obvio, pero no estoy seguro. Sin embargo, ahora puedo encontrar al agente de ARD y todas esas otras cosas...
@chiggsy Ejecutar Spotlight como root es posiblemente la peor idea que se te pueda ocurrir... de verdad.
@Martín ¿Por qué dirías algo tan crípticamente siniestro, querido amigo? Las instrucciones de Apple son para sus mejores intereses, sin duda, que a veces varían con lo que percibo como mis propios intereses, sin duda, pero seguramente tiene algún razonamiento para esta afirmación. ¿Una respuesta quizás?
@chig Porque es un demonio que tiene el potencial de leer (y actualizar) metadatos de archivos (última hora de modificación, por ejemplo). Darle a un programa de usuario el acceso para modificar potencialmente todo su sistema de archivos en un sistema operativo POSIX, básicamente se considera una mala idea. Spotlight podría tener un error de seguridad grave o podría verse comprometido de una manera en la que simplemente podría eliminar archivos en lugar de buscarlos. ¿Quieres que se borre tu carpeta /System? Por supuesto, eso ha sido un poco extremista (mi declaración), pero creo que ningún usuario en su sano juicio tocaría la raíz por algo así.
@chigg No puedo darle una respuesta porque no estoy seguro si Spotlight ejecutándose como root indexará todo el disco. No sé si Spotlight no está simplemente programado para no indexar ciertas cosas. Realmente nunca lo he intentado y si quieres seguir adelante y probarlo, toda la comunidad estaría interesada en tus resultados. Todavía considero que no es una buena idea, no porque Apple decidiera no hacerlo, porque consideraría una idea peligrosa si Spotlight ejecutara una raíz e indexara todo el disco, pero no soy un experto en seguridad ni trabajo en ese campo. . soy programador
Je, yo también soy programador, pero también hago muchas tareas administrativas, principalmente configurando sistemas para ejecutar mi código. Problemático, pero manejable. Pondré lo que descubrí en una respuesta. Se ocupa de sus problemas.

Respuestas (1)

De una gran cantidad de investigación y mirando alrededor, tengo algunos datos sobre este tema:

Por defecto, Spotlight no indexará ciertas carpetas:

  • /Sistema
  • /usr
  • archivos o directorios ocultos.
  • Otros archivos de usuario.

Para agregar una ruta de archivo a Spotlight, puede ejecutar

mdimport -r /path  

man mdimport

tiene la información sobre eso.

Ahora, dado que estoy apuntando a un IDS de hombre pobre de todas estas cosas, este deseo está impulsado por el conocimiento de que Spotlight indexa mi disco todo el tiempo, que es lo que sucedería de todos modos con otros IDS basados ​​​​en host, hubo algunas consideraciones y otros herramientas para involucrar.

Consideraciones:

Spotlight solo le mostrará lo que su usuario debería ver

Eso es lo que dice la documentación. Puedo ver cosas que instalé como root, pero no puedo ver a mi otro usuario. Sin embargo, puedo ver /usr /usr/libexec y el árbol /System. Eso servirá.

Los archivos y carpetas ocultos no aparecen en la búsqueda

Esto será bueno cuando la RIAA escanee de forma remota sus discos en busca de música sin las credenciales adecuadas (confíe en sus sentimientos, sabe que esto es cierto), pero no es la mejor noticia en este caso.

Para concluir, hay muchas cosas que hacer para usar esta herramienta de manera efectiva. El secreto es que Apple firma todo digitalmente.

man codesign

te hablará de

codesign -v file

que no debería devolver nada si el archivo no se modifica. Tenga en cuenta que esto no es una suma de verificación sino un certificado digital de Apple, por lo que solo una gran cantidad de dinero permitirá que se falsifique.

Por supuesto, quise decir que será bastante seguro y fácilmente detectable si se cambia un programa binario.

No detendrá todo, pero me permitirá ladrar periódicamente.

"¿Ha cambiado algo?" , ejecute una búsqueda destacada en el atributo "kMDItemKind", canalícelo a través de codesign -v y vea si algo cambió, o busque en el momento de la modificación o lo que sea.

Para abordar la declaración de usuario anterior, puedo verificar que tengo el mismo centro de atención (he copiado el codiseño en mis medios de recuperación). El centro de atención intacto significa que puedo confiar en él para realizar sus tareas ordinarias. Usar mdimport -r /path es una mejor idea, ya que se cerrará si se ejecuta como root.

Ciertamente, aquí hay una cuestión de seguridad, pero como se mencionó anteriormente, Spotlight indexa un montón de cosas y le muestra lo que debe ver. Tu hermana pequeña no podrá encontrar tu colección de desnudos artísticos de finales de 1990, ni tú podrás encontrar sus secretos, pero root debería poder verlo todo. Existe un sistema sencillo de autorizaciones en OS X que determina qué derecho puede tener un programa, pero dado que esto es prácticamente desconocido para la mayoría, simplemente ingresan una contraseña cuando aparece un cuadro para autenticar algo que han descargado, y se instala como raíz. Cierto software de motores de búsqueda hace exactamente esto. Demonios, el sistema es en realidad más seguro que antes, ejecuté el antiguo importador de python y falló, porque me pidió mi contraseña de administrador e intentó ejecutar mdimport -r como root. Tuve que ejecutarlo yo mismo.

(Oh, es muy bueno con los archivos de python, realmente encantador)

Espero que esto ayude a alguien más.

Encuentro el comentario de la RIAA sobre esta pregunta un poco extraño. Se parece un poco a las "teorías de la conspiración". Además, no veo la relación entre 'codiseño' y archivos ocultos. De lo contrario, la respuesta no es mala.
Vivo en Canadá, así que lo de la RIAA es "historia reciente" según Wikileaks. Bastante bien documentado, salió un día antes de las elecciones, el 2 de mayo. España también, en realidad, aunque recibieron la noticia lo suficientemente temprano como para rechazarla. Me hubiera gustado un poco más de tiempo, pero ese es un pensamiento del pasado muerto, sin límites, compasivo. Eso se acabó.
Sí, estoy de acuerdo en que la RIAA está intentando todo tipo de cosas desagradables para encontrar usuarios que tengan material protegido por derechos de autor en sus controladores HD, pero dudo que Apple lo permita (proporcionando una puerta trasera para eliminar a la RIAA o similar) en un Mac OS X estándar. Instalar en pc.
Aquí está la cosa. Quiero estar de acuerdo contigo. Entonces miro al TPP, el hijo de ACTA. ¿Se puede confiar en que Apple se pondrá de pie donde Francia se derrumbó?
Entonces, aquí estamos 2 meses después, los ISP están vigilando (voluntariamente, por sugerencia de la Casa Blanca) a sus suscriptores, y Jobs hizo un trato con las discográficas. Icloud ofrece 'amnistía'. Cómo desearía estar totalmente equivocado sobre lo que dije con la RIAA :(
¿Cómo asegurar que Spotlight indexe todo mi disco?
RespuestasAquíPolítica de privacidad1y, 1v