Nach eingehender Recherche und Umsicht habe ich einige Daten zu diesem Thema:
Standardmäßig indiziert spotlight bestimmte Ordner nicht:
- /System
- / usr
- versteckte Dateien oder Verzeichnisse.
- Andere Benutzerdateien.
Um Spotlight einen Dateipfad hinzuzufügen, können Sie ihn ausführen
mdimport -r /path
man mdimport
hat die Informationen dazu.
Nun, da ich aus all diesen Dingen ein IDS für einen armen Mann anstrebe, wurde dieser Wunsch durch das Wissen angetrieben, dass Spotlight mein Laufwerk ständig indiziert, was bei anderen hostbasierten IDS ohnehin passieren würde. Es gab einige Überlegungen und andere Werkzeuge einzubeziehen.
Überlegungen:
Spotlight zeigt Ihnen nur, was Ihr Benutzer sehen sollte
Das steht in der Dokumentation. Ich kann Dinge sehen, die ich als root installiert habe, aber ich kann meinen anderen Benutzer nicht sehen. Ich kann jedoch / usr / usr / libexec und den / System-Baum sehen. Das wird gehen.
Versteckte Dateien und Ordner werden bei der Suche nicht angezeigt
Dies ist gut, wenn die RIAA Ihre Laufwerke ohne ordnungsgemäße Anmeldeinformationen aus der Ferne nach Musik durchsucht (vertrauen Sie Ihren Gefühlen, dass dies wahr ist), aber in diesem Fall nicht die beste Nachricht ist.
Zusammenfassend lässt sich sagen, dass es viel zu tun gibt, um dieses Tool effektiv zu nutzen. Das Geheimnis ist, dass Apple alles digital signiert.
man codesign
werde dir davon erzählen
codesign -v file
Dies sollte nichts zurückgeben, wenn die Datei unverändert ist. Beachten Sie, dass dies keine Prüfsumme ist, sondern ein digitales Zertifikat von Apple. Nur mit viel Geld kann dies gefälscht werden.
Ich wollte natürlich sagen, dass es ziemlich sicher und leicht erkennbar ist, wenn ein Binärprogramm geändert wird.
Wird nicht alles aufhalten, aber es wird mir erlauben, regelmäßig zu bellen
"Hat sich gerade etwas geändert?" Führen Sie eine Spotlight-Suche für das Attribut "kMDItemKind" durch, leiten Sie es durch das Codesign -v und prüfen Sie, ob sich etwas geändert hat, oder suchen Sie nach der Änderungszeit oder was auch immer.
Um die obige Userland-Anweisung zu beantworten, kann ich überprüfen, ob ich das gleiche Spotlight habe (ich habe das Codesign auf mein Wiederherstellungsmedium kopiert). Ein intaktes Spotlight bedeutet, dass ich darauf vertrauen kann, dass es seine normalen Aufgaben erledigt. Die Verwendung von mdimport -r / path ist in der Tat eine bessere Idee, da diese beendet wird, wenn sie als root ausgeführt wird.
Natürlich gibt es hier eine Frage der Sicherheit, aber wie oben erwähnt, indiziert Spotlight eine Reihe von Dingen und zeigt Ihnen, was Sie sehen sollten. Ihre kleine Schwester wird weder Ihre Sammlung künstlerischer Akte von Ende 1990 finden können, noch werden Sie ihre Geheimnisse finden können, aber root sollte in der Lage sein, alles zu sehen. In OS X gibt es ein unkompliziertes System von Berechtigungen, das regelt, welches Recht ein Programm haben kann. Da dies den meisten jedoch praktisch unbekannt ist, geben sie einfach ein Kennwort ein, wenn eine Box angezeigt wird, um etwas zu authentifizieren, das sie heruntergeladen haben, und es wird als installiert Wurzel. Eine bestimmte Suchmaschinensoftware macht genau das. Zur Hölle, das System ist tatsächlich sicherer als zuvor. Ich habe den alten Python-Importer ausgeführt und er ist fehlgeschlagen, da er nach meinem Administratorkennwort gefragt und versucht hat, mdimport -r als root auszuführen. Ich musste es selbst laufen lassen.
(Oh, es ist sehr schön mit den Python-Dateien, wirklich schön)
Hoffe das hilft jemand anderem.