Quali sono le implicazioni per la sicurezza di homebrew e macports?

Naviga le tue risposte
2

macports

  • I binari

    sono utilizzabili da /opt/local/bin/ , cioè per tesseract 

    bin$ which tesseract
/opt/local/bin/tesseract

bin$ ls /opt/local/bin/tesseract
-rwxr-xr-x  1 root  admin  28120 15 Sep  2016 /opt/local/bin/tesseract  

bin$ ls /opt/local/ | grep bin
drwxr-xr-x  719 root  admin  24446  6 Aug 19:55 bin

  • l'installazione richiede sudo

sudo port install tesseract

homebrew 

bin$ which packer
/usr/local/bin/packer   

bin$ ls /usr/local/bin/packer
lrwxr-xr-x  1 myuser  admin  33  7 Aug 14:28 /usr/local/bin/packer -> ../Cellar/packer/1.2.5/bin/packer

bin$ ls /usr/local | grep bin
drwxrwxr-x  41 myuser  admin  1394  7 Aug 14:28 bin
  • l'installazione non richiede sudo

brew install packer

PATH

ritagliare altri software, questo è il mio ordine $ PATH: 

/opt/local/bin  #macports
/usr/local/bin  #homebrew
/usr/bin        #Apple binaries

/ usr / loca / bin permessi.

Credo che dal link , che /usr/local/bin , prima di homebrew, inizi come solo scrivibile come root: 

drwxr-xr-x  26 root  wheel  -                 884 Oct 17 03:36 bin

rischi?

C'è una vera differenza tra questi 2 approcci? Che cosa succede se è stato violato o port o brew stesso? Cosa succede se il pacchetto che stai installando è stato violato?

Mi rendo conto che l'installazione di roba hacker finirà male a prescindere, quindi, supponendo che brew/port sia OK e il pacchetto installato non sia danneggiato, che dire delle implicazioni di entrambi gli approcci quando si tratta di altri malware che cercano di alterare il tuo sistema?

Mi sembra che /usr/local/bin sia completamente aperto e che i binari possano in effetti prendere il posto di qualsiasi programma Apple. Dovrei essere preoccupato?

    
posta Italian Philosopher 10.08.2018 - 22:53
fonte

1 risposta

3

Se comprendo correttamente la tua domanda, si riduce a:

Homebrew changes the permissions of /usr/local/bin from the default drwxr-xr-x root wheel to the less secure drwxrwxr-x myuser admin. What are the risks?

Come fai notare, il tuo utente (o chiunque nel gruppo di amministratori, o qualsiasi virus che riesca ad eseguire come te) può ora installare software, incluso sovrascrivere i file di sistema predefiniti.

Quanto è grande questo problema?

Sistema multiutente

Su un sistema multiutente come un server in cui ci sono altri utenti collegati, questo sarebbe un grosso problema. Non ho accesso a un Mac, ma presumo che il mio box Linux sia abbastanza simile; /usr/local/bin è vuoto (nulla da sostituire) ma 

$ echo $PATH
/usr/local/bin:/usr/bin:/home/mike/bin:/usr/local/sbin:/usr/sbin

Quindi, supponendo che gli altri utenti abbiano la stessa configurazione di bash come me, allora prima appare in /usr/local/bin . Quindi potrei inserire un programma maligno chiamato ls in /usr/local/bin e la prossima volta che qualcuno cercherà di navigare nel filesystem, il mio codice verrà eseguito all'interno del loro account utente. Le nefande possibilità sono infinite.

Quindi sono d'accordo con te che questo è un problema su un server multi-utente.

Personal computer per utente singolo

A tutti gli effetti, c'è un solo utente sul tuo laptop. xkcd lo illustra abbastanza bene :

Se un utente malintenzionato / malware / ecc è già entrato nel tuo account, ha tutti i tuoi dati, è solo una questione di tempo prima che il keylog scriva la tua sudo password, quindi ti importa se installano ulteriormente malware in /usr/local/bin o metterlo in /home/myuser e aggiungerlo al tuo percorso? Il risultato finale è lo stesso.

    
risposta data 15.08.2018 - 19:46
fonte

Leggi altre domande sui tag

Come mitigare gli attacchi SIP Reflection? TLS1.0 deprecazione e requisiti PCI DSS