sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #81700
Re: erstatte /bin/rm
-
To:
sslug-teknik@xxxxxxxx
-
From:
Peter Makholm <peter@xxxxxxxxxxx>
-
Date:
Wed, 13 Apr 2005 19:09:35 +0200
-
Cancel-lock:
sha1:OLrW+JX/FxVsbvcV7NOZvSessAo=
-
Delivered-to:
mailing list sslug-teknik@xxxxxxxx
-
In-reply-to:
<d3jgun$a41$1@www.sslug.dk> (Mikael Rasmussen's message of "Wed, 13 Apr 2005 18:22:04 +0200")
-
Mailing-list:
contact sslug-teknik-help@xxxxxxxx; run by ezmlm
-
Newsgroups:
sslug.teknik
-
Organization:
hacking.dk - Doing fun stuff with open source
-
User-agent:
Gnus/5.09002 (Oort Gnus v0.20) XEmacs/21.4 (Security Through Obscurity, linux)
-
Xyzzy:
Nothing happens!
Mikael Rasmussen <mr2@xxxxxxxxxx> writes:
> Claus Alboege wrote:
>
>> hvilket betyder at alle kan lave en 'echo > /var/log/rm.log'...
>>
>
> Eller bruge 'unlink fil' istedet for 'rm fil' ;-)
>
> Du skal nok pille i kerne hvis det skal være 99.9% uomgåeligt.
Sporgsmaalet er hvad man onsker at logge. Er det generelt at folk
sletter filer eller er det specifikt rm(1).
Hvis det er generelt skal man selvfolgelig have fat i alle programmer
der kunne taenkes at kalde unlink(2). Det er /bin/rm, mc og andre
filbrowsere.
Man kan fange unlink(2)-kaldet, men det kraever at man leger lidt med
LD_PRELOAD-libraries. Som inspiration kan man se paa libtrash[0] der
ikke logger kald til unlink(2) men flytter filer til en trashcan
istedet for at slette dem.
0) http://pwp.netcabo.pt/0154115101/software/libtrash/
Det vil stadigvaek kunne omgaas hvis man linker sine programmer
statisk med glibc.
--
Peter Makholm | There are 10 kinds of people. Those who count in
peter@xxxxxxxxxxx | binary and those who don't
http://hacking.dk |
Follow ups
References