Z wielu badań i rozglądania się, mam trochę danych na ten temat:
Domyślnie reflektor nie będzie indeksował niektórych folderów:
- /System
- / usr
- ukryte pliki lub katalogi.
- Inne pliki użytkownika.
Aby dodać ścieżkę pliku do wyróżnienia, możesz uruchomić
mdimport -r /path
man mdimport
ma informacje na ten temat.
Teraz, skoro dążę do tego, aby z tych wszystkich rzeczy mieć słaby IDS człowieka, to pragnienie wynika z wiedzy, że Spotlight indeksuje mój dysk przez cały czas, co zresztą by się stało z innymi systemami IDS opartymi na hoście, były pewne względy i inne narzędzia do zaangażowania.
Uwagi:
Spotlight pokaże tylko to, co powinien zobaczyć użytkownik
Tak mówi dokumentacja. Widzę rzeczy, które zainstalowałem jako root, ale nie widzę innego użytkownika. Widzę jednak / usr / usr / libexec i drzewo / System. To wystarczy.
Ukryte pliki i foldery nie pojawiają się podczas wyszukiwania
Będzie to dobre, gdy RIAA zdalnie skanuje dyski w poszukiwaniu muzyki bez odpowiednich poświadczeń (zaufaj swoim odczuciom, że wiesz, że to prawda.), Ale nie jest to najlepsza wiadomość w tym przypadku.
Podsumowując, jest wiele rzeczy do zrobienia, aby skutecznie korzystać z tego narzędzia. Sekret polega na tym, że Apple podpisuje wszystko cyfrowo.
man codesign
opowie ci o
codesign -v file
co nie powinno zwracać niczego, jeśli plik jest niezmodyfikowany. Pamiętaj, że nie jest to suma kontrolna, ale cyfrowy certyfikat Apple, więc tylko duże pieniądze pozwolą to sfałszować.
Oczywiście chciałem powiedzieć, że będzie całkiem bezpieczny i łatwo wykrywalny, jeśli zmieni się program binarny.
Nie zatrzyma wszystkiego, ale pozwoli mi okresowo szczekać
„Czy coś się właśnie zmieniło?” , uruchom wyszukiwanie wyróżnione dla atrybutu „kMDItemKind”, przeprowadź go przez znak -v i sprawdź, czy coś się zmieniło, lub wyszukaj czas modyfikacji lub cokolwiek innego.
Aby odnieść się do powyższego oświadczenia o użytkowaniu, mogę sprawdzić, czy mam to samo światło punktowe (skopiowałem znak na moje nośniki odzyskiwania). Nienaruszone światło punktowe oznacza, że mogę mu ufać, że wykona to zwykłe zadania. Użycie mdimport -r / path jest rzeczywiście lepszym pomysłem, ponieważ zakończy się, jeśli zostanie uruchomiony jako root.
Z pewnością jest tu kwestia bezpieczeństwa, ale jak wspomniano powyżej, reflektor indeksuje wiele rzeczy i pokazuje, co powinieneś zobaczyć. Twoja młodsza siostra nie będzie w stanie znaleźć twojej kolekcji artystycznych aktów z końca 1990 roku, ani nie będzie w stanie znaleźć jej sekretów, ale root powinien widzieć wszystko. W OS X istnieje prosty system autoryzacji, który decyduje o tym, jakie prawo może mieć program, ale ponieważ dla większości osób jest to praktycznie nieznane, po prostu wpisuje hasło, gdy pojawia się okno, aby uwierzytelnić coś, co pobrali, i instaluje się jako korzeń. Pewne oprogramowanie wyszukiwarek właśnie to robi. Do diabła, system jest w rzeczywistości bezpieczniejszy niż wcześniej, uruchomiłem stary importer Pythona i nie udało się, ponieważ poprosił o moje hasło administratora i próbował uruchomić mdimport -r jako root! Sam musiałem to uruchomić.
(Och, to bardzo miłe z plikami Pythona, cudownie, naprawdę)
Mam nadzieję, że to pomaga komuś innemu.