it-swarm-vi.com

Tại sao lệnh cây không được bao gồm trong máy chủ Ubuntu?

Việc cài đặt tiện ích dòng lệnh cây trên máy chủ Ubuntu có vấn đề bảo mật không? Nó không được bao gồm theo mặc định trên máy chủ.

4
Aviah Laor

Những gì tôi sẽ mô tả bây giờ rất có thể là một tình huống rất giả thuyết.

  1. Giả sử bạn đang chạy cây trên một phần của hệ thống tệp nơi mọi người dùng có thể tạo tệp, chẳng hạn như trong /tmp hoặc /var/tmp .
  2. Giả sử rằng một người dùng độc hại đã tạo ra các tên tệp đặc biệt rõ ràng ở vị trí đó. Điều đó có thể đã được thực hiện bằng cách có một tài khoản người dùng thực tế trên hệ thống hoặc bằng cách "đánh lừa" một trình nền máy chủ có sẵn dễ bị tổn thương và công khai.
  3. Giả sử có một lỗ hổng/điểm yếu thực tế trong cây liên quan đến cách nó xử lý các tên tệp "lẻ".

Trong trường hợp như vậy, có thể cây có thể bị lừa để chạy các hướng dẫn ngoài ý muốn với các đặc quyền trên tài khoản người dùng của bạn. Rõ ràng là thiệt hại sẽ tồi tệ hơn nhiều khi giả sử cây đã được gọi với quyền root.

Tuy nhiên, điều này không có gì khác với những gì bạn phơi bày mỗi khi bạn sử dụng bất kỳ ứng dụng nào để xử lý dữ liệu được tạo bởi một bên ngoài/bên không xác định. Cho dù bạn đang xem một trang web trong trình duyệt của mình, nghe một tệp mp3 trong trình phát nhạc hoặc chỉnh sửa tài liệu trong bộ xử lý Word của bạn, bạn vẫn cần tin tưởng vào ứng dụng của mình để xử lý dữ liệu đến một cách lành mạnh.

Đây là lý do tại sao các lỗ hổng bảo mật trong trình duyệt web là một vấn đề lớn như vậy, vì chúng liên tục tiếp xúc với đầu vào từ các bên ngoài/không xác định. Tương tự, thậm chí nhiều hơn, dành cho trình nền của máy chủ, nơi kẻ tấn công tiềm năng có cơ hội liên tục cung cấp cho bạn dữ liệu đầu vào "xấu". So sánh điều này với máy tính của bạn, nơi chính bạn là người nhập tất cả dữ liệu khi bạn cung cấp số đó.

Tóm tắt :

Có, có một cân nhắc bảo mật về mặt lý thuyết trong việc cài đặt và chạy cây cây , giống như với bất kỳ phần mềm nào khác.

Điều đó đang được nói, phần lớn các ứng dụng bạn tìm thấy trong kho Ubuntu sẽ an toàn hợp lý để cài đặt và sử dụng. Miễn là chúng ta đang nói về các ứng dụng người dùng thông thường, tôi không nghĩ bạn nên lo lắng nhiều.

(Lưu lại những lo lắng của bạn cho trình nền máy chủ có thể truy cập công khai.)

5
andol

Tôi nghi ngờ cây không được cài đặt theo mặc định vì nó nằm trong universe (các ứng dụng phải ở main trước khi chúng có thể được cài đặt làm mặc định).

Nhìn nhanh qua changelog không hiển thị bản ghi các vấn đề bảo mật và không có báo cáo lỗi trong Ubunt , thậm chí còn quay trở lại như Dapper.

Vì vậy, lời khuyên của tôi là chỉ cần tiếp tục và cài đặt tree trên máy chủ của bạn, nó có thể an toàn hơn rất nhiều ứng dụng máy chủ phổ biến.

9
jbowtie