Коли доцільно / доцільно використовувати chroot?

Я чую про необхідність хронувати BIND весь час. Справедливо. А як щодо інших програм? Які "правила" (або особисті, або широко прийняті / встановлені) для вирішення, які програми слід ув'язнити?

-М

Загалом ви можете використовувати chroot з кількох причин:

• потреба в іншій версії дистрибуції / архітектури / розповсюдження, не бажаючи використовувати OpenVZ або віртуальну машину. Наприклад, я використовую chroots, щоб мати компіляційні середовища i386 та amd64 на машині amd64.
• обмеження доступу користувачів до системи. Наприклад, ви можете використовувати chroot разом із scponly, щоб обмежити команди, до яких користувачі мають доступ. Це дуже обмежена система ув'язнення, наприклад, вони все ще мають доступ до мережі.
• обмеження доступу до системи до програм. Взагалі, можливо, ви захочете це зробити для демонів, таких як зв'язування або апаш. Таким чином, ці програми не матимуть прямого доступу до системи, тож якщо зловмисник міг би порушити безпеку програми, він не отримав би прямого доступу до системи, а натомість опинився б усередині chroot. Це сприяє підвищенню безпеки, але це не є гарантією того, що ваша система захищена.

Якщо відповідь не "з метою безпеки". Див. Зловживання chroot .

Коли було висловлено припущення, що Chroot часто використовується як інструмент безпеки, Адріан Банк заперечив: "Некомпетентні люди, що реалізують рішення безпеки, - справжня проблема". Алан додав: "chroot не є і ніколи не був інструментом безпеки. Люди будували речі, засновані на властивостях chroot, але розширені (BSD тюрем, Linux vserver), але вони зовсім інші".

Якщо у вас є програма, яка потребує набору / версій бібліотек, який відрізняється від встановленої у вашій системі, це був би хорошим кандидатом на встановлення "з хронікою".

chroot також зручний для установки різної версії дистрибутива Linux у власному середовищі, не використовуючи VM або емулятор ( Налаштування Debian chroot під Red Hat ).

Все залежить від того, наскільки ти параноїк. Для більшості намірів і цілей кожна служба повинна бути чітко розроблена з міркувань безпеки. Однак це може бути нездійсненним для всього, оскільки це може стати трохи стомлюючим, намагаючись повторити все. Ще одна можливість розглянути для цілей ізоляції - використання легких віртуальних машин типу OpenVZ / VServer, які по суті схожі на chroot, тим більше.