Чи безпечно додати. до моєї ПАТИ? Як це?

Я бачив, як люди згадують в інших відповідях, що погана ідея включати поточну робочу директорію (' .') у $PATHзмінну вашого середовища, але не змогла знайти питання, яке стосується конкретної проблеми.

Отже, чому я не повинен додати .свій шлях? І якщо я, незважаючи на всі попередження, все одно роблю це, на що я повинен стежити? Чи безпечніше додати його до кінця, ніж до початку?

Якщо ви єдиний користувач на машині, це добре, поки ви знаєте, що робите. Загальна проблема полягає в тому, що, маючи поточний каталог PATH, ви не можете бачити команди як постійний список. Якщо вам потрібно запустити скрипт / програму з вашого поточного каталогу, ви завжди можете явно запустити його, попередньо додавши ./його ім'я (ви скажете системі "Я хочу запустити цей файл з мого поточного каталогу").

Скажіть, тепер у вас є всі ці маленькі сценарії по всій вашій файловій системі; одного дня ти точно запустиш неправильний. Отже, наявність вашого PATHзаздалегідь визначеного списку статичних шляхів - це все про порядок і порятунок себе від потенційної проблеми.

Однак якщо ви збираєтесь додати .до свого PATH, пропоную додати його до кінця списку ( export PATH=$PATH:.). Принаймні, таким чином ви не перекриватимете двійкові файли на загальній системі.

Якщо ви корінь на систему і мають системи піддаються рахунки інших користувачів, що мають .в PATHвеличезний ризик безпеки: ви можете cdв каталог якого - небудь користувача, і ненавмисно запустити шкідливий сценарій там тільки тому , що ви набраний річ або сценарій, має таку ж назву, що і двійковий код, що має загальну систему.

Ризик полягає в тому, що хтось помістить в каталог шкідливий виконуваний файл, який, як і раніше, є поточним.

Найгірший випадок трапляється, коли:

• ви зареєстровані як root, оскільки зловмисна команда має необмежену здатність пошкодження
• .знаходиться на початку вашого PATH, оскільки стандартні команди можуть бути замінені, не помічаючи цього (як правило, це lsможе приховати себе зі списку).

Ризик набагато нижчий, якщо ви зареєстровані як звичайний користувач і маєте .в кінці свого PATH, але він все ще існує:

• хтось може дізнатись, що ви часто вводите команду та вказуєте відповідну команду
• хтось може встановити підроблену команду з іменем тієї, яка не встановлена.

Зауважте, що в будь-якому випадку ризик все ще існує, навіть якщо ви єдиний користувач машини. Зловмисне програмне забезпечення буде встановлене, якщо, наприклад, ви отримаєте архів, завантажений з компрометованого сайту.

Навіть якщо ви завжди дуже обережні з тим, що ви вводите, додавання .до свого PATH, навіть в кінці, все ще незахищене, оскільки деякі програми змінюють поточний каталог на /tmp(що є в світі записом), а також можуть спробувати виконати утиліти, які фактично не встановлені, тим самим дефолт до того, що є /tmp. Якщо це відбувається, це вектор атаки.

Слід також зазначити , що існує не так багато недоліків уникнути .в PATH, так ./легко друкувати (зокрема , на клавішних , як QWERTY, де ці символи знаходяться на послідовних ключів і не потрібно Shift) і використання ./також сприятиме завершенню, тим самим потенційно економити натискання клавіш в кінці.

Якщо ви дійсно хочете мати можливість вводити команди з поточного каталогу, то сучасні оболонки (як-от zsh, з його command_not_found_handler) можуть надавати функції, щоб зробити це безпечно, тобто дозволяючи додати всі перевірки безпеки, які ви хочете в обробнику, перед команда виконується.