Ubuntuサーバーにツリーコマンドラインユーティリティをインストールすると、セキュリティ上の問題が発生しますか?サーバーにはデフォルトでは含まれていません。
これから説明するのは、おそらく非常に仮説的な状況です。
/tmp
または/var/tmp
の下など、ユーザーがファイルを作成できるファイルシステムの一部でtreeを実行していると仮定します。このような状況では、treeがだまされて、ユーザーアカウントの権限で意図しない命令を実行する可能性があります。 treeがルート権限で呼び出されたと仮定すると、損害は明らかに悪化します。
ただし、これは、外部/不明な関係者によって作成されたデータを処理するためにアプリケーションを使用するたびに自分自身にさらされることと何も変わりません。ブラウザでWebページを表示したり、音楽プレーヤーでmp3ファイルを聞いたり、ワードプロセッサでドキュメントを編集したりしても、受信データを正常に処理するにはアプリケーションを信頼する必要があります。
これは、外部/未知の関係者からの入力に常にさらされているため、Webブラウザーのセキュリティ脆弱性が非常に重要な理由です。同じことは、サーバーデーモンにも当てはまります。サーバーデーモンでは、潜在的な攻撃者が「悪い」入力データを送り込む絶え間ない機会を持っています。これを計算機と比較してください。計算機は、自分で数値を入力するときにすべてのデータを入力する計算機です。
要約:
はい、他のほとんどのソフトウェアと同様に、treeのインストールと実行には理論上のセキュリティ上の考慮事項があります。
そうは言っても、Ubuntuリポジトリにあるアプリケーションの大部分は、インストールして使用しても安全です。通常のユーザーアプリケーションについて話している限り、あまり心配する必要はないと思います。
(公的に到達可能なサーバーデーモンの心配を保存します。)
ツリーはuniverse
にあるため、デフォルトではインストールされていないと思われます(デフォルトとしてインストールする前に、アプリケーションはmain
になければなりません)。
changelog をざっと見ても、セキュリティの問題の記録は表示されません。また、 buntuのバグレポート はなく、Dapperまで遡ります。
したがって、私のアドバイスは、サーバーにtree
をインストールすることです。多くの一般的なサーバーアプリケーションよりもおそらく安全です。