_abspath グループによるトロイの木馬のブロック
$PATH 変数内の相対パス名、特に「カレント ディレクトリ」を意味するドット(.)パス名は、セキュリティ上の弱点です。以下の例を考えてみましょう。
capamsc141
$PATH 変数内の相対パス名、特に「カレント ディレクトリ」を意味するドット(.)パス名は、セキュリティ上の弱点です。以下の例を考えてみましょう。
- root の PATH 変数の先頭には、カレント(.)ディレクトリがあります。
- 悪意のあるユーザが破壊的なプログラム(トロイの木馬)を作成し、/tmp/ls として保存します。
- しばらくすると、悪意のあるユーザの意図したとおりに、root ユーザが /tmp ディレクトリから ls コマンドを発行します。その結果、通常の ls コマンドが実行される代わりに、完全な管理者権限を持つ root ユーザによって、/tmp ディレクトリに保存されていたトロイの木馬が実行されます。
このセキュリティ上の脆弱性を排除するために、
PAM Server Control
には_abspath というユーザ グループが用意されています。_abspath グループのすべてのメンバは、プログラム起動時に相対パス名を使用することが禁止されます。他のグループと同様に、ユーザを _abspath グループに追加できます。この設定は次回のログインから有効になり、ユーザはプログラムにアクセスするときに相対パス名を使用できません。