Ubuntu 曾经或曾经做出过努力,有时被描述为没有开放端口对于默认安装。
DHCP 客户端和 Avahi 除外(否则会破坏每个人的网络)。在官方公布的 Avahi 原因中,最“引人注目”的是最后一个:“[发现]一台 ZeroConf 打印机”。为了保持高水平的安全性,Ubuntu 首先对 Avahi 进行了审核。 https://wiki.ubuntu.com/ZeroConfPolicySpec
(与此相关的是,avahi-daemon 默认在 chroot 监狱中运行)。
Debian没有这样的努力。安装 Debian 9 Desktop(或 Debian 8 Desktop)会通过transmission-gtk
.是否minissdpd
接受过与 Avahi 相同级别的审核?
[更新:Debian 10 Desktop 不再引入 minissdpd。虽然当我安装 Digikam 时,我注意到它仍然拉入minidlna
,因此运行minidlnad
]
答案1
不会。Debian minissdpd
10.0 中的软件包不会通过安全审核。
minissdpd
以 root 用户身份运行。除了被定义为使用 的 systemd 服务之外,没有任何遏制PrivateTmp
。有一些测试代码可以“放弃特权”,即#if 0
通过块和 TODO 注释禁用。
注意守护进程是用 C 编写的,缓冲区溢出的本机语言。
(郑重声明,测试代码中的方法还不够。守护进程仍然可以尝试访问文件系统。请记住,Debian 默认使主目录可供所有用户读取。此外,它对用户进行硬编码nobody
。更多软件“放弃特权”成为相同的“无人”用户意味着这个所谓的“无人”可以造成更大的破坏,并且更有可能它可以访问一些私人数据。)