← Back to team overview

sslug-teknik team mailing list archive

Re: erstatte /bin/rm

 

Mikael Rasmussen <mr2@xxxxxxxxxx> writes:

> Claus Alboege wrote:
>
>> hvilket betyder at alle kan lave en 'echo > /var/log/rm.log'...
>>
>
> Eller bruge 'unlink fil' istedet for 'rm fil' ;-)
>
> Du skal nok pille i kerne hvis det skal være 99.9% uomgåeligt.

Sporgsmaalet er hvad man onsker at logge. Er det generelt at folk
sletter filer eller er det specifikt rm(1).

Hvis det er generelt skal man selvfolgelig have fat i alle programmer
der kunne taenkes at kalde unlink(2). Det er /bin/rm, mc og andre
filbrowsere.

Man kan fange unlink(2)-kaldet, men det kraever at man leger lidt med
LD_PRELOAD-libraries. Som inspiration kan man se paa libtrash[0] der
ikke logger kald til unlink(2) men flytter filer til en trashcan
istedet for at slette dem.

0) http://pwp.netcabo.pt/0154115101/software/libtrash/

Det vil stadigvaek kunne omgaas hvis man linker sine programmer
statisk med glibc.

-- 
 Peter Makholm     |      There are 10 kinds of people. Those who count in
 peter@xxxxxxxxxxx |                            binary and those who don't
 http://hacking.dk |                                                      


Follow ups

References