mpdが危険というわけではありません。どんなソフトでも設定を間違えると危険だという話です。

mpdは実行ユーザーを指定出来るようになってます。しかも外部プログラムを起動することが出来ます。 つまり、「mpd.confを書き換えられる=root権限で何でもできる」ということになります。

さらにmpd.confを書き換えられなくてもmpdがrootで実行されていて、起動する外部プログラムが書き換えられる場所にあることを知っていれば「root権限で何でもできる」ことになります。

つまり

mpd.confは一般ユーザーが書き込めないようにする

mpdのユーザーをrootにすることはなるべく避ける

外部プログラムを起動する場合にはrootしか書き込めない場所のプログラムを指定する

一般ユーザーのセキュリティにも気を付ける

2015年5月17日