¿Cuáles son las implicaciones de seguridad de homebrew y macports?

2

macports

  • los binarios se pueden utilizar desde /opt/local/bin/ , es decir, para tesseract

    bin$ which tesseract
    /opt/local/bin/tesseract
    
    bin$ ls /opt/local/bin/tesseract
    -rwxr-xr-x  1 root  admin  28120 15 Sep  2016 /opt/local/bin/tesseract  
    
    bin$ ls /opt/local/ | grep bin
    drwxr-xr-x  719 root  admin  24446  6 Aug 19:55 bin 
    
  • la instalación requiere sudo

sudo port install tesseract

homebrew

bin$ which packer
/usr/local/bin/packer   

bin$ ls /usr/local/bin/packer
lrwxr-xr-x  1 myuser  admin  33  7 Aug 14:28 /usr/local/bin/packer -> ../Cellar/packer/1.2.5/bin/packer

bin$ ls /usr/local | grep bin
drwxrwxr-x  41 myuser  admin  1394  7 Aug 14:28 bin
  • la instalación no requiere sudo

brew install packer

RUTA

eliminando otro software, este es mi pedido de $ PATH:

/opt/local/bin  #macports
/usr/local/bin  #homebrew
/usr/bin        #Apple binaries

/ usr / loca / bin permisos.

Creo que, desde enlace , que /usr/local/bin , antes de homebrew, se inicia solo como root de escritura:

drwxr-xr-x  26 root  wheel  -                 884 Oct 17 03:36 bin

¿Riesgos?

¿Hay una diferencia real entre esos 2 enfoques? ¿Qué sucede si se ha pirateado port o brew ? ¿Qué pasa si el paquete que está instalando ha sido hackeado?

Me doy cuenta de que la instalación de elementos pirateados terminará mal, independientemente, por lo que, asumiendo que brew/port está bien y el paquete instalado tampoco está dañado, ¿cuáles son las implicaciones de cualquiera de los enfoques cuando se trata de otro malware que intenta modificar tu sistema?

Me parece que /usr/local/bin está completamente abierto y que los binarios allí pueden, en efecto, tomar el lugar de cualquier programa de Apple. ¿Debería preocuparme?

    
pregunta Italian Philosopher 10.08.2018 - 22:53
fuente

1 respuesta

3

Si entiendo su pregunta correctamente, se reduce a:

  

Homebrew cambia los permisos de /usr/local/bin del drwxr-xr-x root wheel predeterminado al drwxrwxr-x myuser admin menos seguro. ¿Cuáles son los riesgos?

A medida que señala, su usuario (o cualquier persona en el grupo de administración, o cualquier virus que se ejecute como usted) ahora puede instalar software, incluida la sobrescritura del sistema predeterminado.

¿Qué tan grande es el problema?

Sistema multiusuario

En un sistema multiusuario como un servidor donde hay otros usuarios registrados, esto sería un gran problema. No tengo acceso a una Mac, pero asumo que mi caja de Linux es lo suficientemente similar; /usr/local/bin está vacío (nada que reemplazar) pero

$ echo $PATH
/usr/local/bin:/usr/bin:/home/mike/bin:/usr/local/sbin:/usr/sbin

Suponiendo que otros usuarios tengan la misma configuración de bash que yo, primero se ve en /usr/local/bin . Por lo tanto, podría poner un programa malicioso llamado ls en /usr/local/bin y la próxima vez que alguien intente navegar por el sistema de archivos, mi código se ejecutará dentro de su cuenta de usuario. Las infinitas posibilidades son infinitas.

Por lo tanto, estoy de acuerdo con usted en que este es un problema en un servidor multiusuario.

Ordenador personal de un solo usuario

A todos los efectos, solo hay un usuario en su computadora portátil. xkcd ilustra esto bastante bien :

Si un atacante / malware / etc ya ha ingresado en su cuenta, entonces tienen todos sus datos, es solo una cuestión de tiempo hasta que ingresen en el registro de teclas al ingresar su contraseña sudo , entonces realmente le importa si se instalan más. ¿El malware en /usr/local/bin o lo pone en /home/myuser y lo agrega a su ruta? El resultado final es el mismo.

    
respondido por el Mike Ounsworth 15.08.2018 - 19:46
fuente

Lea otras preguntas en las etiquetas