Après avoir effectué de nombreuses recherches et avoir cherché un peu partout, je dispose de quelques données sur cette question :
Par défaut, Spotlight n'indexera pas certains dossiers :
- /Système
- /usr
- des fichiers ou des répertoires cachés.
- Autres fichiers d'utilisateurs.
Pour ajouter un chemin de fichier à spotlight, vous pouvez exécuter
mdimport -r /path
man mdimport
a les informations à ce sujet.
Maintenant, puisque je vise un pauvre IDS de tous ces trucs, ce désir étant conduit par la connaissance que Spotlight indexe mon disque tout le temps, ce qui est ce qui se produirait de toute façon avec d'autres IDS basés sur l'hôte, il y avait quelques considérations et d'autres outils à impliquer.
Considérations :
Spotlight ne vous montrera que ce que votre utilisateur doit voir.
C'est ce que dit la documentation. Je peux voir les éléments que j'ai installés en tant que Root, mais je ne peux pas voir mon autre utilisateur. Cependant, je peux voir /usr /usr/libexec et l'arbre /System. Cela fera l'affaire.
Les fichiers et dossiers cachés n'apparaissent pas dans la recherche.
Ce sera une bonne chose lorsque la RIAA analysera à distance vos disques pour y trouver de la musique sans justificatifs ( Faites confiance à vos sentiments, vous savez que c'est vrai. ) mais ce n'est pas la meilleure nouvelle dans ce cas.
En conclusion, il y a beaucoup de choses à faire pour utiliser efficacement cet outil. Le secret est qu'Apple signe tout numériquement.
man codesign
vous parlera de
codesign -v file
qui ne devrait rien retourner si le fichier n'est pas modifié. Notez qu'il ne s'agit pas d'une somme de contrôle mais d'un certificat numérique d'Apple, donc seuls les gros sous permettront de le falsifier.
Je voulais bien sûr dire qu'il sera assez sûr, et facilement détectable si un programme binaire est modifié.
Ça ne va pas tout arrêter, mais ça va me permettre d'aboyer périodiquement.
"Est-ce que quelque chose vient de changer ?" Exécutez une recherche ponctuelle sur l'attribut "kMDItemKind", passez-le dans codesign -v et voyez si quelque chose a changé, ou recherchez le temps de modification ou autre.
Pour répondre à l'affirmation ci-dessus concernant le userland, je peux vérifier que j'ai le même spotlight (j'ai copié le codesign sur mon support de récupération). Un spotlight intact signifie que je peux lui faire confiance pour effectuer ses tâches ordinaires. L'utilisation de mdimport -r /path est en effet une meilleure idée, puisqu'elle se terminera si elle est exécutée en tant que Root.
Il y a certainement une question de sécurité ici, mais comme mentionné ci-dessus, Spotlight indexe un tas de choses, et vous montre ce que vous devriez voir. Votre petite sœur ne pourra pas trouver votre collection de nus artistiques de la fin des années 1990, et vous ne pourrez pas non plus trouver ses secrets, mais Root devrait être capable de tout voir. Il existe un système simple d'autorisations dans OS X qui régit les droits d'un programme, mais comme cela est pratiquement inconnu de la plupart des gens, ils tapent simplement un mot de passe lorsqu'une boîte apparaît pour authentifier quelque chose qu'ils ont téléchargé, et cela s'installe en tant que Root. Le logiciel d'un certain moteur de recherche fait exactement cela. Bon sang, le système est en fait plus sûr qu'avant, j'ai lancé l'ancien importateur Python, et il a échoué, parce qu'il m'a demandé mon mot de passe d'administrateur et a essayé d'exécuter mdimport -r en tant que Root ! J'ai dû l'exécuter moi-même.
(Oh c'est très bien avec les fichiers Python, vraiment très bien)
J'espère que cela aidera quelqu'un d'autre.
