Re: Sinn von ./
* Wolfgang Jeltsch schrieb am 08.Sep.2003:
> Am Montag, 8. September 2003, 18:56 schrieb Thomas Bartholomäus:
> > Linux fuehrt nicht automatisch aus dem aktuellen verz irgendetwas aus.
> > (anders als dos).
> Wenn du diese Funktionalität haben möchtest, kannst du explizit . zur
> PATH-Umgebungsvariable hinzu fügen.
Es reicht auch schon ein leerer Eintrag, den man hat, wenn ein : am
Anfang oder Ende des PATH steht oder :: irgendwo.
> Aber Vorsicht! Das sollte man nicht für den Administrator (root) machen. Hat
> root den Punkt im PATH, könnte ihm von einem gemeinen Benutzer ein
> Trojaner(?) untergejubelt werden. Hierzu muss der Benutzer z.B. nur im
> Verzeichnis /tmp (wo er ja Schreibrechte hat) eine Datei mit Namen ls
> anlegen, dort Befehle zum Deaktivieren des root-Passworts eingeben und
> nachher der Datei Ausführungsrechte geben. Kommt der root dann mal ins
> Verzeichnis /tmp und will sich mittels ls dessen Inhalt ansehen, wird der
> Trojaner (mit root-Rechten) ausgeführt und damit der Rechner gehackt. Das
> Ganze funktioniert, weil selbst so ein elementarer Befehl wie ls unter Linux
> kein shellinterner Befehl ist, sondern über eine separate ausführbare Datei
> realisiert wird.
Das funktioniert aber nur, wenn der . vor /bin steht, sonst wird
/bin/ls genommen. Auch der . wird im Pfad dort genommen, wo er
steht.
Bernd
Reply to: