用 _abspath 组阻止特洛伊木马

$PATH 变量中的任何相对路径名都是安全漏洞，特别是表示“当前目录”的圆点 (.) 路径名。请考虑以下情况：

代表根目录的 PATH 变量的顶端是当前 (.) 目录。
恶意用户创建了一个破坏性程序，即特洛伊木马，并将其存储为 /tmp/ls。
正如恶意用户所希望的，root 会在 /tmp 目录中及时发出 ls 命令。实际上，root 并没有运行常规的 ls 命令，而是使用完全管理权限运行已存储在 /tmp 目录中的特洛伊木马。

要消除该安全漏洞，CA ControlMinder 提供了名为 _abspath 的用户组。禁止 _abspath 组的所有成员在调用程序时使用相对路径名。

和向任何其他组中添加用户一样，您可以将用户添加到 _abspath 组。该用户在下次登录时生效，禁止该用户在访问程序时使用相对路径名。