it-mure.jp.net

ツリーコマンドがUbuntuサーバーに含まれないのはなぜですか?

Ubuntuサーバーにツリーコマンドラインユーティリティをインストールすると、セキュリティ上の問題が発生しますか?サーバーにはデフォルトでは含まれていません。

4
Aviah Laor

これから説明するのは、おそらく非常に仮説的な状況です。

  1. /tmpまたは/var/tmpの下など、ユーザーがファイルを作成できるファイルシステムの一部でtreeを実行していると仮定します。
  2. 悪意のあるユーザーがその場所に非常に明示的に特別なファイル名を作成したと仮定します。これは、システム上に実際のユーザーアカウントを持つか、やや脆弱で公開されているサーバーデーモンを "トリック"することで実行できます。
  3. treeに「奇数」ファイル名の処理方法に関する実際の脆弱性/弱点があると仮定します。

このような状況では、treeがだまされて、ユーザーアカウントの権限で意図しない命令を実行する可能性があります。 treeがルート権限で呼び出されたと仮定すると、損害は明らかに悪化します。

ただし、これは、外部/不明な関係者によって作成されたデータを処理するためにアプリケーションを使用するたびに自分自身にさらされることと何も変わりません。ブラウザでWebページを表示したり、音楽プレーヤーでmp3ファイルを聞いたり、ワードプロセッサでドキュメントを編集したりしても、受信データを正常に処理するにはアプリケーションを信頼する必要があります。

これは、外部/未知の関係者からの入力に常にさらされているため、Webブラウザーのセキュリティ脆弱性が非常に重要な理由です。同じことは、サーバーデーモンにも当てはまります。サーバーデーモンでは、潜在的な攻撃者が「悪い」入力データを送り込む絶え間ない機会を持っています。これを計算機と比較してください。計算機は、自分で数値を入力するときにすべてのデータを入力する計算機です。

要約:

はい、他のほとんどのソフトウェアと同様に、treeのインストールと実行には理論上のセキュリティ上の考慮事項があります。

そうは言っても、Ubuntuリポジトリにあるアプリケーションの大部分は、インストールして使用しても安全です。通常のユーザーアプリケーションについて話している限り、あまり心配する必要はないと思います。

(公的に到達可能なサーバーデーモンの心配を保存します。)

5
andol

ツリーはuniverseにあるため、デフォルトではインストールされていないと思われます(デフォルトとしてインストールする前に、アプリケーションはmainになければなりません)。

changelog をざっと見ても、セキュリティの問題の記録は表示されません。また、 buntuのバグレポート はなく、Dapperまで遡ります。

したがって、私のアドバイスは、サーバーにtreeをインストールすることです。多くの一般的なサーバーアプリケーションよりもおそらく安全です。

9
jbowtie