it-swarm-id.com

Mengapa perintah pohon tidak termasuk dalam server Ubuntu?

Apakah menginstal utilitas baris perintah pohon di server Ubuntu memiliki masalah keamanan? Ini tidak termasuk secara default di server.

4
Aviah Laor

Apa yang akan saya gambarkan sekarang kemungkinan besar adalah situasi yang sangat hipotetis.

  1. Asumsikan Anda menjalankan pohon pada bagian dari sistem file tempat setiap pengguna dapat membuat file, seperti di bawah /tmp atau /var/tmp .
  2. Asumsikan bahwa pengguna jahat telah membuat nama file khusus yang sangat eksplisit di lokasi itu. Itu bisa dilakukan dengan memiliki akun pengguna aktual pada sistem atau dengan "menipu" daemon server yang sedikit rentan dan tersedia untuk umum.
  3. Asumsikan ada kerentanan/kelemahan aktual dalam pohon mengenai cara berurusan dengan nama file "aneh".

Dalam keadaan seperti itu, ada kemungkinan pohon dapat diakali untuk menjalankan instruksi yang tidak diinginkan dengan hak istimewa pada akun pengguna Anda. Jelas bahwa kerusakan akan jauh lebih buruk dengan asumsi pohon telah dipanggil dengan hak akses root.

Namun, ini tidak ada bedanya dengan apa yang Anda paparkan pada setiap kali Anda menggunakan aplikasi apa pun untuk menangani data yang dibuat oleh pihak eksternal/tidak dikenal. Tidak masalah jika Anda melihat halaman web di browser Anda, mendengarkan file mp3 di pemutar musik Anda atau mengedit dokumen di pengolah kata Anda, Anda masih perlu mempercayai aplikasi Anda untuk menangani data yang masuk secara masuk akal.

Ini adalah cara mengapa kerentanan keamanan di browser web adalah masalah besar, karena mereka selalu terpapar input dari pihak eksternal/tidak dikenal. Hal yang sama, bahkan lebih, berlaku untuk daemon server, di mana penyerang potensial memiliki kesempatan konstan untuk memberi makan Anda data input "buruk". Bandingkan ini dengan kalkulator Anda, di mana Anda sendiri yang memasukkan semua data saat Anda memberinya nomor.

Ringkas:

Ya, ada pertimbangan keamanan teoritis dalam menginstal dan menjalankan pohon , sama seperti dengan hampir semua perangkat lunak lain.

Yang sedang berkata, sebagian besar aplikasi yang Anda temukan di repositori Ubuntu akan cukup aman untuk dipasang dan digunakan. Selama kita berbicara tentang aplikasi pengguna biasa, saya kira Anda tidak perlu terlalu khawatir.

(Simpan kekhawatiran Anda untuk daemon server yang dapat dijangkau publik.)

5
andol

Saya menduga pohon tidak diinstal secara default karena itu dalam universe (aplikasi harus dalam main sebelum dapat diinstal sebagai default).

Pandangan cepat melalui changelog tidak menampilkan catatan masalah keamanan, dan tidak ada laporan bug di Ubunt , bahkan akan kembali sejauh Dapper.

Jadi saran saya adalah langsung saja menginstal tree di server Anda, mungkin lebih aman daripada banyak aplikasi server populer.

9
jbowtie