Aviah Laor Asked: 2010-07-31 17:17:59 +0800 CST2010-07-31 17:17:59 +0800 CST 2010-07-31 17:17:59 +0800 CST 为什么 Ubuntu 服务器中不包含 tree 命令? 772 在 Ubuntu 服务器上安装树命令行实用程序是否存在安全问题?默认情况下,它不包含在服务器上。 server 2 个回答 Voted jbowtie 2010-08-01T00:30:34+08:002010-08-01T00:30:34+08:00 我怀疑默认情况下未安装树,因为它在universe(应用程序必须在main默认情况下安装之前)。 快速浏览更新日志并没有显示安全问题的记录,并且在 Ubuntu 中没有错误报告,甚至可以追溯到 Dapper。 所以我的建议是继续安装tree在您的服务器上,它可能比许多流行的服务器应用程序更安全。 Best Answer andol 2010-07-31T23:14:12+08:002010-07-31T23:14:12+08:00 我现在要描述的很可能是一个非常假设的情况。 假设您在文件系统的一部分上运行树,任何用户都可以在其中创建文件,例如 under/tmp或/var/tmp. 假设恶意用户在该位置创建了非常明确的特殊文件名。这可以通过在系统上拥有一个实际的用户帐户或通过“欺骗”一个容易受到攻击且公开可用的服务器守护程序来完成。 假设树中存在关于如何处理“奇数”文件名的实际漏洞/弱点。 在这种情况下,树可能会被诱骗以您的用户帐户权限运行意外指令。显然,假设使用 root 权限调用了tree,这种损害会严重得多。 然而,这与您每次使用任何应用程序处理由外部/未知方创建的数据时所暴露的内容没有什么不同。无论您是在浏览器中查看网页、在音乐播放器中收听 mp3 文件还是在文字处理器中编辑文档,您仍然需要相信您的应用程序能够以理智的方式处理传入的数据。 这就是为什么网络浏览器中的安全漏洞如此重要的原因,因为它们经常暴露于来自外部/未知方的输入。服务器守护进程也是如此,潜在的攻击者不断有机会向您提供“坏”输入数据。将此与您的计算器进行比较,您自己就是在输入数字时输入所有数据的人。 总结: 是的,安装和运行tree有一个理论上的安全考虑,就像几乎任何其他软件一样。 话虽如此,您在 Ubuntu 存储库中找到的大多数应用程序都可以安全地安装和使用。只要我们谈论的是普通用户应用程序,我认为您不必担心太多。 (不用担心可公开访问的服务器守护进程。)
我怀疑默认情况下未安装树,因为它在
universe(应用程序必须在main默认情况下安装之前)。快速浏览更新日志并没有显示安全问题的记录,并且在 Ubuntu 中没有错误报告,甚至可以追溯到 Dapper。
所以我的建议是继续安装
tree在您的服务器上,它可能比许多流行的服务器应用程序更安全。我现在要描述的很可能是一个非常假设的情况。
/tmp或/var/tmp.在这种情况下,树可能会被诱骗以您的用户帐户权限运行意外指令。显然,假设使用 root 权限调用了tree,这种损害会严重得多。
然而,这与您每次使用任何应用程序处理由外部/未知方创建的数据时所暴露的内容没有什么不同。无论您是在浏览器中查看网页、在音乐播放器中收听 mp3 文件还是在文字处理器中编辑文档,您仍然需要相信您的应用程序能够以理智的方式处理传入的数据。
这就是为什么网络浏览器中的安全漏洞如此重要的原因,因为它们经常暴露于来自外部/未知方的输入。服务器守护进程也是如此,潜在的攻击者不断有机会向您提供“坏”输入数据。将此与您的计算器进行比较,您自己就是在输入数字时输入所有数据的人。
总结:
是的,安装和运行tree有一个理论上的安全考虑,就像几乎任何其他软件一样。
话虽如此,您在 Ubuntu 存储库中找到的大多数应用程序都可以安全地安装和使用。只要我们谈论的是普通用户应用程序,我认为您不必担心太多。
(不用担心可公开访问的服务器守护进程。)