it-swarm-es.com

¿Por qué el comando del árbol no está incluido en el servidor Ubuntu?

¿La instalación de la utilidad de línea de comandos del árbol en el servidor Ubuntu tiene problemas de seguridad? No está incluido por defecto en el servidor.

4
Aviah Laor

Lo que voy a describir ahora es muy probablemente una situación muy hipotética.

  1. Suponga que está ejecutando el árbol en una parte del sistema de archivos donde cualquier usuario puede crear archivos, como en /tmp o /var/tmp .
  2. Suponga que un usuario malintencionado ha creado nombres de archivo muy explícitamente especiales en esa ubicación. Eso podría haberse hecho teniendo una cuenta de usuario real en el sistema o "engañando" a un demonio de servidor ligeramente vulnerable y disponible públicamente.
  3. Suponga que hay una vulnerabilidad/debilidad real en el árbol con respecto a cómo se trata con los nombres de archivo "extraños".

En tales circunstancias, es posible que el árbol pueda ser engañado para ejecutar instrucciones no deseadas con los privilegios en su cuenta de usuario. Obviamente, ese daño sería mucho peor suponiendo que árbol hubiera sido llamado con privilegios de root.

Sin embargo, esto no es nada diferente de lo que se expone cada vez que utiliza cualquier aplicación para manejar datos creados por una parte externa/desconocida. No importa si está viendo una página web en su navegador, escuchando un archivo mp3 en su reproductor de música o editando un documento en su procesador de textos, aún necesita confiar en su aplicación para manejar los datos entrantes de una manera sensata.

Esto es por cierto por qué las vulnerabilidades de seguridad en un navegador web son tan importantes, ya que están constantemente expuestos a la entrada de partes externas/desconocidas. Lo mismo, incluso más, se aplica a los demonios del servidor, donde un atacante potencial tiene una oportunidad constante de alimentarlo con datos de entrada "malos". Compare esto con su calculadora, donde usted mismo es el que ingresa todos los datos a medida que los alimenta.

Resumir:

Sí, hay una consideración de seguridad teórica al instalar y ejecutar el árbol , al igual que con casi cualquier otro software.

Dicho esto, la mayoría de las aplicaciones que encuentre en los repositorios de Ubuntu serán razonablemente seguras de instalar y usar. Mientras hablemos de aplicaciones de usuario normales, no creo que deba preocuparse demasiado.

(Guarde sus preocupaciones para demonios de servidor de acceso público).

5
andol

Sospecho que el árbol no está instalado de forma predeterminada porque está en universe (las aplicaciones deben estar en main antes de que puedan instalarse de forma predeterminada).

Una mirada rápida a través de changelog no muestra un registro de problemas de seguridad, y no hay informes de errores en Ubunt , incluso retrocediendo hasta Dapper.

Entonces, mi consejo sería simplemente seguir adelante e instalar tree en su servidor, probablemente sea más seguro que muchas aplicaciones de servidor populares.

9
jbowtie