On Fri, Sep 29, 2000 at 05:27:37PM +0200, twerner@intercomm.de wrote:
Wenn /home und /tmp mit der Option noexec gemountet wird, koennte man mit den LD_-Variablen doch wieder eigenen Binaercode ausfuehren. Um das
Stimmt. Sobald man irgendein Binary unter eigener UID ausfueheren kann, kann man damit auch eigene Dinge laufen lassen.
zu verhindern, muesste root aber alles statisch linken.
Oder alle mit suid-Flag versehen. Das ist allerdings ein recht ungewöhnliches Szenario. Ich kann mir vorstellen, dass man bald viele Programme ohne Verlust von Funktionalitaet gar nicht mehr komplett statisch bauen kann. Je nach Rechner koennen z.B. andere PAM- oder NSS-Module nötig sein, von denen man zur Compilezeit gar nix weiss. Bei Solaris ist das jedenfalls schon so und das NSS-System in Linux (genauer: in der glibc-2) ist völlig von Sun abgekupfert.
Reinhard