为什么不建议静态链接glibc？

其他回答提供的原因是正确的，但并不是最重要的原因。

glibc不应该被静态链接的最重要原因是它在内部广泛使用dlopen来加载NSS（Name Service Switch）模块和iconv转换。这些模块本身是对C库函数的引用。如果主程序与C库动态链接，那么没有问题。但是如果主程序与C库静态链接，dlopen就必须加载一个第二份C库以满足模块的加载需求。

这意味着你的“静态链接”程序仍然需要一个libc.so.6的副本存在于文件系统中，还需要NSS或iconv或任何其他模块本身，以及模块可能需要的其他动态库，如ld-linux.so.2、libresolv.so.2等。这不是人们通常希望在静态链接程序时出现的情况。

这也意味着静态链接程序在其地址空间中有两个C库的副本，它们可能会争夺要使用哪个stdout缓冲区，谁可以使用非零参数来调用sbrk等。 glibc内部有一堆防御性逻辑来尝试使其工作，但从未被保证过。
您可能认为您的程序不需要担心这个问题，因为它没有调用getaddrinfo或iconv，但是语言环境支持在内部使用iconv，这意味着任何stdio.h函数都可能触发对dlopen的调用，而您无法控制此操作，用户的环境变量设置会影响到它。
如果您的程序确实调用了iconv，那么事情会变得更糟，特别是当一个“静态链接”可执行文件在一个发行版上构建，然后复制到另一个发行版时。在不同的发行版上，iconv模块有时位于不同的位置，因此在Red Hat发行版上构建的可执行文件可能无法在Debian上正确运行，这与静态链接可执行文件的初衷完全相反。

该程序/glibc接口已经被POSIX、C和C++标准等规范化并记录。例如，fopen()函数遵循C标准，pthread_mutex_lock()遵循POSIX标准。 glibc/内核接口并未被规范化。 fopen()在底层使用open()还是openat()？或者其他的什么？明年会使用什么？你不知道。
如果glibc/内核接口发生更改，使用静态链接glibc的程序将无法再正常工作。
15年前，Solaris出于这个原因删除了所有静态版本的libc。 静态链接——它去哪里了？ 使用Solaris 10，您无法再构建静态可执行文件。这并不是因为ld（1）不允许静态链接或使用存档文件，而是因为不再提供libc.a，即libc.so.1的存档版本。该库提供了用户空间与内核之间的接口，没有此库，创建任何形式的应用程序都相当困难。
我们一直在警告用户不要进行静态链接，而链接libc.a尤其有问题。每个Solaris发行版或更新（甚至某些补丁）都会导致一些使用libc.a构建的应用程序失败。问题在于libc应该将应用程序与用户/内核边界隔离开来，而该边界可能会因版本发布而发生变化。
如果应用程序是针对libc.a构建的，则它引用的任何内核接口都将从存档中提取并成为应用程序的一部分。因此，此应用程序只能在与使用的内核接口同步的内核上运行。如果这些接口发生更改，则应用程序就处于不稳定的状态。

似乎对Linux内核接口的稳定性进行了严重高估。请参见Linux内核API更改/添加以获取详细信息。总结如下：

我可以想到一个允许静态链接的好理由。如果有人获得了系统访问权限，他们可以用包含恶意软件的libc.so替换原文件。当你运行应用程序时，它将执行恶意软件。如果该应用程序是使用静态glibc构建的，则该攻击向量将消失。