在 Ubuntu 服务器上安装 tree 命令行实用程序是否存在安全问题?默认情况下,它不包含在服务器上。
答案1
我怀疑树没有默认安装,因为它在universe
(应用程序必须main
先在才能默认安装)。
快速浏览变更日志没有显示安全问题的记录,也没有Ubuntu 中的错误报告,甚至可以追溯到 Dapper。
因此,我的建议是继续tree
在您的服务器上安装,它可能比许多流行的服务器应用程序更安全。
答案2
我现在要描述的很可能是一个非常假设的情况。
- 假设你正在跑步树在文件系统的任何用户都可以创建文件的部分,例如
/tmp
或下/var/tmp
。 - 假设有恶意用户在该位置创建了非常特殊的文件名。这可以通过在系统上拥有实际用户帐户或“欺骗”稍微脆弱且公开可用的服务器守护程序来实现。
- 假设存在实际的漏洞/弱点树关于它如何处理“奇怪的”文件名。
在这种情况下,有可能树可能会被诱骗使用您用户帐户的权限运行非预期的指令。显然,这种损害会严重得多,假设树已使用 root 权限调用。
然而,这与您每次使用任何应用程序处理外部/未知方创建的数据时所面临的情况并没有什么不同。无论您是在浏览器中查看网页、在音乐播放器中收听 mp3 文件还是在文字处理器中编辑文档,您仍然需要信任您的应用程序以合理的方式处理传入数据。
顺便说一句,这就是为什么 Web 浏览器中的安全漏洞如此严重,因为它们不断暴露于来自外部/未知方的输入。服务器守护进程也是如此,潜在的攻击者不断有机会向您提供“坏”输入数据。将其与计算器进行比较,您自己就是在向计算器输入数字时输入所有数据的人。
总结:
是的,在安装和运行过程中存在理论上的安全考虑树,就像任何其他软件一样。
话虽如此,Ubuntu 存储库中的大部分应用程序安装和使用起来都相当安全。只要我们谈论的是普通用户应用程序,我认为你不必太担心。
(无需担心可公开访问的服务器守护进程。)