it-swarm-pt.tech

Por que o comando tree não está incluído no servidor Ubuntu?

Está instalando o utilitário de linha de comando de árvore no servidor Ubuntu tem problemas de segurança? Não está incluído por padrão no servidor.

4
Aviah Laor

O que vou descrever agora é provavelmente uma situação muito hipotética.

  1. Suponha que você esteja executando árvore em uma parte do sistema de arquivos onde qualquer usuário pode criar arquivos, como /tmp ou /var/tmp.
  2. Suponha que um usuário mal-intencionado tenha criado nomes de arquivo especiais muito explícitos nesse local. Isso poderia ter sido feito com uma conta de usuário real no sistema ou "enganando" um daemon de servidor ligeiramente vulnerável e publicamente disponível.
  3. Suponha que haja uma vulnerabilidade/fraqueza real na árvore em relação a como ela lida com nomes de arquivos "ímpares".

Sob tais circunstâncias, é possível que árvore possa ser induzida a executar instruções não intencionais com os privilégios em sua conta de usuário. Obviamente, esse dano seria muito pior assumindo que a árvore tivesse sido chamada com privilégios de root.

No entanto, isso não é diferente do que você se expõe toda vez que usa qualquer aplicativo para manipular dados criados por uma parte externa/desconhecida. Não importa se você está visualizando uma página da web em seu navegador, ouvindo um arquivo mp3 em seu music player ou editando um documento em seu processador de textos, você ainda precisa confiar em seu aplicativo para manipular dados de entrada de uma maneira sã.

É por esse motivo que as vulnerabilidades de segurança em navegadores da web são tão importantes, já que estão constantemente expostas a informações de partes externas/desconhecidas. O mesmo, ainda mais, vale para daemons de servidor, em que um invasor em potencial tem uma oportunidade constante de fornecer dados de entrada "ruins". Compare isso com sua calculadora, onde você mesmo é quem insere todos os dados à medida que alimenta os números.

Resumir:

Sim, há uma consideração de segurança teórica na instalação e execução árvore , assim como com praticamente qualquer outro software.

Dito isto, a maioria dos aplicativos que você encontrar nos repositórios do Ubuntu será razoavelmente segura para instalar e usar. Enquanto estivermos falando sobre aplicativos de usuário regulares, não acho que você deva se preocupar muito com isso.

(Salve suas preocupações para daemons do servidor acessíveis publicamente.)

5
andol

Suspeito que o tree não esteja instalado por padrão porque está em universe (os aplicativos precisam estar em main antes de poderem ser instalados como padrão).

Um rápido olhar através do changelog não mostra um registro de problemas de segurança, e não há relatórios de bugs no Ubunt , mesmo voltando até Dapper.

Então, meu conselho seria simplesmente ir em frente e instalar o tree no seu servidor, é provavelmente mais seguro do que um monte de aplicativos de servidor populares.

9
jbowtie