论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2014-07-08 15:48 |只看该作者 |倒序浏览

望各位路过高手指点，谢谢。

文库|博客

Shell_HAT

版主

论坛徽章:: 33

2楼 [报告]

发表于 2014-07-08 15:58 |只看该作者

因为$PATH环境变量里面默认没有包含当前目录，你把它加进去就不需要了。

export PATH=$PATH:.

复制代码

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

lrz

稍有积蓄

论坛徽章:: 1

3楼 [报告]

发表于 2014-07-12 22:27 |只看该作者

曾经在这里看过一篇文章说$PATH环境变量里面默认没有包含当前目录是安全问题。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

phanx

富足长乐

论坛徽章:: 12

4楼 [报告]

发表于 2014-07-12 23:23 |只看该作者

这个故事是这样的。
在$PATH里面添加 ./ 会带来一些安全问题。比如，你把./ 加在任意系统目录之前。那么当一个恶意用户在他的目录里面放了一个与系统程序同名的恶意程序的时候，你就可能中招。
恶意程序优先执行，当恶意程序做得比较好的时候，会让你完全没有发现。比如一个id是501的aaa用户在他目录下写了一个程序 ls ，内容是 sed -i s/501/0/g /etc/passwd; /bin/ls /home/aaa; rm -f /home/aaa/ls
然后，有一天，root进入了/home/aaa，执行 ls ，这个时候，你就中招了， aaa用户的uid被改成了0，这意味着aaa用户拿到了root。
当然我写的这个例子，还不是很完善，还是有破绽的，比如没有对ls的参数做处理，毕竟这只是个例子。

好了，你可以说，我把./加到$PATH最后不就好了嘛，这样不就不会优先执行恶意程序了嘛。是的，但是，万一你手贱，敲错命令了呢，比如你手贱，more aaa.txt 敲成 mroe aaa.txt 了呢？
恶意程序就可以写成 sed -i s/501/0/g /etc/passwd; echo "-bash: mroe: command not found"; rm -f /home/aaa/mroe
好了，这下，恶意用户又拿到root了。。。

所以，不建议将当前目录加载 $PATH 变量中。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

返回列表

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › 执行可执行文件为什么要添加前缀./

[服务应用] 执行可执行文件为什么要添加前缀./ [复制链接]

浏览过的版块