On Fri, Apr 28, 2006 at 04:47:54PM +0200, Sandro Frenzel wrote: > Am Freitag 28 April 2006 15:55 schrieb Christoph Haas: > > On Thu, Apr 27, 2006 at 09:43:37PM +0200, Klaus Zerwes wrote: > > > Christoph Haas schrieb: > > > >Ansonsten der Standard-Tipp: nimmt "." nicht mit in den $PATH auf, damit > > > >dir niemand was unterjubeln kann. Aber das meintest du sicher mit deinem > > > >letzten Satz. > > > > > > Hm - wenn ich befürchten muß das mir da wer was unterschiebt würde ich > > > auch nicht meiner bzw der System-profile-Datei auch nicht trauen ;-) > > > > Es geht weniger darum, dass Systemdateien geändert werden. Aber lass mal > > einen anderen User ein Skript namens "ls" in seinem Homeverzeichnis > > anlegen. Du gehst rein, führst "ls" aus... Man braucht keine Root-Rechte, > > um dir was unterzuschieben. > > > Und wie kann man sich davor schützen? Ich mein, welchen Scripten/Programmen > usw. kann man denn vertrauen?
Mir ging es darum, nicht "." mit in den $PATH aufzunehmen. Wenn du das tust, werden Programme auch im aktuellen Verzeichnis gesucht. Siehe mein "ls"-Beispiel. Es geht nicht darum, dass jemand in /usr/bin Unsinn macht. Dafür braucht man Admin-Rechte. Es geht darum, dass du dich in einem Verzeichnis /home/blaschwafel oder /var/www befindest, in dem dir eventuell ein Schreib-Berechtigter dort eine ausführbare Datei unterjubelt, die genauso heißt, wie ein Systembefehl. Du möchtest vermutlich 'ls' aus /bin/ls haben. Aber wenn du in /home/blaschwafel bist und es gibt dort ein Skript /home/blaschafel/ls, dann sucht deine Shell die $PATH-Variable durch. Dieses Phänomen habe ich nämlich selbst schon auf Systemen von Leuten gesehen, die nie verstanden haben, warum man Skript mit ./skript aufrufen muss. Gruß Christoph -- ~ ~ ".signature" [Modified] 1 line --100%-- 1,48 All
signature.asc
Description: Digital signature
