it-swarm-ko.tech

왜 트리 명령이 Ubuntu 서버에 포함되어 있지 않습니까?

Ubuntu 서버에 트리 명령 줄 유틸리티를 설치하면 보안 문제가 있습니까? 서버에는 기본적으로 포함되어 있지 않습니다.

4
Aviah Laor

제가 지금 설명 할 것은 아마도 매우 가상적인 상황 일 것입니다.

  1. 모든 사용자가 파일을 작성할 수있는 파일 시스템의 일부에서 tree 를 실행한다고 가정합니다 (예 : /tmp 또는 /var/tmp.
  2. 악의적 인 사용자가 해당 위치에 매우 명시 적으로 특별한 파일 이름을 생성했다고 가정합니다. 시스템에 실제 사용자 계정이 있거나 약간 취약하고 공개적으로 사용 가능한 서버 데몬을 "트레이 킹"하여 수행 할 수 있습니다.
  3. "odd"파일 이름을 처리하는 방법과 관련하여 tree 에 실제 취약점/약점이 있다고 가정합니다.

이러한 상황에서 tree 는 사용자 계정에 대한 권한으로 의도하지 않은 지침을 실행하도록 속일 수 있습니다. 분명히 tree 가 루트 권한으로 호출되었다고 가정하면 손상이 훨씬 더 나빠질 것입니다.

그러나 이것은 응용 프로그램을 사용하여 외부/알 수없는 당사자가 만든 데이터를 처리 할 때마다 노출되는 것과 다를 바 없습니다. 브라우저에서 웹 페이지를 보거나 음악 플레이어에서 mp3 파일을 듣거나 Word 프로세서에서 문서를 편집하더라도 들어오는 데이터를 제대로 처리하려면 응용 프로그램을 신뢰해야합니다.

이것은 웹 브라우저의 보안 취약점이 외부/알 수없는 당사자의 입력에 지속적으로 노출되기 때문에 그렇게 큰 이유입니다. 잠재적 인 공격자가 "나쁜"입력 데이터를 지속적으로 공급할 수있는 기회가있는 서버 데몬도 마찬가지입니다. 숫자를 입력 할 때 모든 데이터를 입력하는 계산기 인 계산기와 비교해보십시오.

요약 :

예, 다른 소프트웨어와 마찬가지로 tree 설치 및 실행에는 이론적 인 보안 고려 사항이 있습니다.

즉, Ubuntu 리포지토리에서 찾은 대부분의 응용 프로그램은 설치 및 사용하기에 안전합니다. 일반 사용자 응용 프로그램에 대해 이야기하는 한 크게 걱정하지 않아도됩니다.

(공개적으로 접근 가능한 서버 데몬에 대한 걱정을 저장하십시오.)

5
andol

트리가 universe에 있기 때문에 기본적으로 트리가 설치되지 않은 것 같습니다 (기본적으로 설치하려면 응용 프로그램이 main에 있어야 함).

changelog 를 간단히 살펴보면 보안 문제에 대한 기록이 표시되지 않으며 buntu의 버그 보고서 도없고 Dapper까지 거슬러 올라갑니다.

따라서 제 조언은 서버에 tree을 (를) 설치하는 것입니다. 많은 인기있는 서버 응용 프로그램보다 안전 할 것입니다.

9
jbowtie