sslug-teknik team mailing list archive

Thread
Date

Re: erstatte /bin/rm

To: sslug-teknik@xxxxxxxx
From: Peter Makholm <peter@xxxxxxxxxxx>
Date: Wed, 13 Apr 2005 19:09:35 +0200
Cancel-lock: sha1:OLrW+JX/FxVsbvcV7NOZvSessAo=
Delivered-to: mailing list sslug-teknik@xxxxxxxx
In-reply-to: <d3jgun$a41$1@www.sslug.dk> (Mikael Rasmussen's message of "Wed, 13 Apr 2005 18:22:04 +0200")
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: hacking.dk - Doing fun stuff with open source
User-agent: Gnus/5.09002 (Oort Gnus v0.20) XEmacs/21.4 (Security Through Obscurity, linux)
Xyzzy: Nothing happens!

Mikael Rasmussen <mr2@xxxxxxxxxx> writes:

> Claus Alboege wrote:
>
>> hvilket betyder at alle kan lave en 'echo > /var/log/rm.log'...
>>
>
> Eller bruge 'unlink fil' istedet for 'rm fil' ;-)
>
> Du skal nok pille i kerne hvis det skal være 99.9% uomgåeligt.

Sporgsmaalet er hvad man onsker at logge. Er det generelt at folk
sletter filer eller er det specifikt rm(1).

Hvis det er generelt skal man selvfolgelig have fat i alle programmer
der kunne taenkes at kalde unlink(2). Det er /bin/rm, mc og andre
filbrowsere.

Man kan fange unlink(2)-kaldet, men det kraever at man leger lidt med
LD_PRELOAD-libraries. Som inspiration kan man se paa libtrash[0] der
ikke logger kald til unlink(2) men flytter filer til en trashcan
istedet for at slette dem.

0) http://pwp.netcabo.pt/0154115101/software/libtrash/

Det vil stadigvaek kunne omgaas hvis man linker sine programmer
statisk med glibc.

-- 
 Peter Makholm     |      There are 10 kinds of people. Those who count in
 peter@xxxxxxxxxxx |                            binary and those who don't
 http://hacking.dk |

Follow ups

Re: Re: erstatte /bin/rm
From: Christian Iversen, 2005-04-14

References

erstatte /bin/rm
From: Martin Møller Pedersen, 2005-04-13
Re: erstatte /bin/rm
From: Claus Alboege, 2005-04-13
Re: erstatte /bin/rm
From: Mikael Rasmussen, 2005-04-13