man 5 hosts.equiv
NOTES
Some systems will only honor the contents of this file when it has
owner root and no write permission for anybody else. Some exception-
ally paranoid systems even require that there be no other hard links to
the file.
A támadás/félelem itt az, hogy ha valami susmus helyen van egy hardlink, akkor egy rekurzív chown/chmod (ami az inode-ot érinti) megváltoztatja az "eredeti" hozzáférési jogokat is. Hardlink létrehozása nem (feltétlenül) privilegizált, lásd a link() specifikációjában:
These functions shall fail if:
[EACCES]
A component of either path prefix denies search permission, or the requested link requires writing in a directory that denies write permission, or the calling process does not have permission to access the existing file and this is required by the implementation.
(Kiemelés általam.)
Szóval válasszunk egy 644/root:root jogosultságú/tulajdonú file-t az /etc alól, mondjuk legyen ez az /etc/passwd, majd mezei felhasználóként (feltéve, hogy a /tmp és az /etc azonos fs-en vannak):
cd /tmp
mkdir -pv -- "$LOGNAME"
cd -- "$LOGNAME"
ln /etc/passwd .
Ha a root most lefuttat egy rekurzív chmod/chown parancsot a
/tmp/"$LOGNAME"-en, esetleg beleír valamit az ott lévő file-okba, abból baj lehet.
... Legalábbis ez a tippem.
Kiegészítés: ennek a vizsgálatnak persze nem sok értelme van, mert az extra hardlink létrehozható közvetlenül az fstat() lefutása után is.