it-swarm.it

Perché il comando tree non è incluso nel server Ubuntu?

L'installazione dell'utilità della riga di comando dell'albero sul server Ubuntu presenta problemi di sicurezza? Non è incluso per impostazione predefinita sul server.

4
Aviah Laor

Ciò che descriverò ora è molto probabilmente una situazione molto ipotetica.

  1. Supponiamo che tu stia eseguendo albero su una parte del filesystem in cui qualsiasi utente può creare file, come sotto /tmp o /var/tmp.
  2. Supponiamo che un utente malintenzionato abbia creato nomi di file molto esplicitamente speciali in quella posizione. Ciò avrebbe potuto essere fatto avendo un account utente reale sul sistema o "ingannando" un demone server leggermente vulnerabile e disponibile al pubblico.
  3. Supponiamo che ci sia un'effettiva vulnerabilità/debolezza nell'albero riguardo al modo in cui tratta i nomi di file "dispari".

In tali circostanze è possibile che l'albero possa essere indotto a eseguire istruzioni indesiderate con i privilegi sul tuo account utente. Ovviamente quel danno sarebbe molto peggio supponendo che l'albero fosse stato chiamato con i privilegi di root.

Tuttavia, questo non è niente di diverso da ciò a cui ti esponi ogni volta che usi un'applicazione per gestire i dati creati da una parte esterna/sconosciuta. Non importa se visualizzi una pagina web nel tuo browser, ascolti un file mp3 nel tuo lettore musicale o modifichi un documento nel tuo elaboratore di testi, devi comunque fidarti della tua applicazione per gestire i dati in arrivo in modo sano.

Questo è il motivo per cui le vulnerabilità di sicurezza in un browser Web sono un grosso problema, poiché sono costantemente esposte all'input da parti esterne/sconosciute. Lo stesso, ancora di più, vale per i demoni server, in cui un potenziale attaccante ha una costante opportunità di fornire dati di input "errati". Confrontalo con la tua calcolatrice, dove sei tu stesso a inserire tutti i dati mentre li inserisci.

ricapitolare:

Sì, esiste una considerazione teorica della sicurezza nell'installazione e nell'esecuzione dell'albero , proprio come con qualsiasi altro software.

Detto questo, la maggior parte delle applicazioni che trovi nei repository di Ubuntu sarà ragionevolmente sicura da installare e da utilizzare. Finché stiamo parlando di normali applicazioni utente, non penso che dovresti preoccuparti troppo.

(Salva le tue preoccupazioni per i demoni del server raggiungibili pubblicamente.)

5
andol

Sospetto che l'albero non sia installato di default perché si trova in universe (le applicazioni devono essere in main prima di poter essere installate come predefinite).

Una rapida occhiata al log delle modifiche non mostra un record di problemi di sicurezza, e non ci sono segnalazioni di bug in Ubunt , anche risalendo a Dapper.

Quindi il mio consiglio sarebbe di andare avanti e installare tree sul tuo server, probabilmente è più sicuro di molte applicazioni server popolari.

9
jbowtie