Por que o comando tree não está incluído no servidor Ubuntu?

O que vou descrever agora é provavelmente uma situação muito hipotética.

1. Suponha que você esteja executando árvore em uma parte do sistema de arquivos onde qualquer usuário pode criar arquivos, como em /tmp ou /var/tmp .
2. Suponha que um usuário mal-intencionado tenha criado nomes de arquivo especiais muito explícitos nesse local. Isso poderia ter sido feito com uma conta de usuário real no sistema ou "enganando" um daemon de servidor ligeiramente vulnerável e publicamente disponível.
3. Suponha que haja uma vulnerabilidade / fraqueza real em árvore em relação a como ele lida com nomes de arquivos "ímpares".

Em tais circunstâncias, é possível que tree seja induzido a executar instruções não intencionais com os privilégios da sua conta de usuário. Obviamente, esse dano seria muito pior assumindo que árvore tivesse sido chamado com privilégios de root.

No entanto, isso não é diferente do que você se expõe toda vez que usa qualquer aplicativo para manipular dados criados por uma parte externa / desconhecida. Não importa se você está visualizando uma página da web em seu navegador, ouvindo um arquivo mp3 em seu reprodutor de música ou editando um documento em seu processador de textos, você ainda precisa confiar em seu aplicativo para manipular os dados recebidos de maneira sã.

É por esse motivo que as vulnerabilidades de segurança em navegadores da web são tão importantes, já que estão constantemente expostas a informações de partes externas / desconhecidas. O mesmo, ainda mais, vale para daemons de servidor, em que um invasor em potencial tem uma oportunidade constante de fornecer dados de entrada "ruins". Compare isso com sua calculadora, onde você mesmo é quem insere todos os dados à medida que você os alimenta.

Resumir:

Sim, há uma consideração de segurança teórica na instalação e execução de árvore , exatamente como em qualquer outro software.

Dito isto, a maioria dos aplicativos que você encontra nos repositórios do Ubuntu será razoavelmente segura para instalar e usar. Enquanto estivermos falando sobre aplicativos de usuário regulares, não acho que você deva se preocupar muito com isso.

(Salve suas preocupações para daemons do servidor acessíveis publicamente.)

Suspeito que o tree não esteja instalado por padrão porque está em universe (os aplicativos precisam estar em main antes de poderem ser instalados como padrão).

Uma rápida olhada no changelog não mostra um registro de problemas de segurança, e não há relatórios de bugs no Ubuntu , mesmo voltando até o Dapper.

Então, meu conselho seria simplesmente ir em frente e instalar tree no seu servidor, provavelmente é mais seguro do que muitos aplicativos populares de servidor.