是否已知 minissdpd 已經過安全審核,與 avahi-daemon 的級別相似?
Ubuntu 已經或曾經努力,有時將其描述為預設安裝的無開放埠。
DHCP 客戶端(否則您會破壞所有人的網路)和 Avahi 除外。在官方公佈的 Avahi 原因中,最“有說服力”的是最後一個:“
$$ discover $$ZeroConf 列印機”。為了保持高水平的安全性,Ubuntu 首先對 Avahi 進行了審計 。https ://wiki.ubuntu.com/ZeroConfPolicySpec (與此相關,avahi-daemon 預設在 chroot 監獄中執行)。
Debian 沒有這樣的努力。安裝 Debian 9 Desktop(或 Debian 8 Desktop)通過
transmission-gtk. 是否minissdpd接受過與 Avahi 相同級別的審計?[更新:Debian 10 Desktop 不再引入 minissdpd。雖然當我安裝 Digikam 時,我注意到它仍然拉入
minidlna,因此執行minidlnad]
不可以。Debian 10.0 中的
minissdpd軟體包不會通過安全審核。
minissdpd以 root 使用者身份執行。除了定義為使用的 systemd 服務之外,沒有任何遏制PrivateTmp。有一些“刪除權限”的測試程式碼,它被一個塊和一個 TODO 註釋禁用#if 0。請注意,守護程序是用 C 編寫的,這是緩衝區溢出的本地語言。
(作為記錄,測試程式碼中的方法是不夠的。守護程序仍然可以嘗試訪問文件系統。請記住,Debian 預設使所有使用者都可以讀取主目錄。此外,它對使用者進行硬編碼
nobody。更多軟體“放棄特權”變成同一個“nobody”使用者意味著這個所謂的“nobody”可以造成更大的破壞,並且更有可能有一些私人數據可以訪問。)