Quando è appropriato / prudente usare chroot?

Ho sentito di aver bisogno di chroot BIND in ogni momento. Giusto. E gli altri programmi? Quali sono le "regole" (personali o ampiamente accettate / stabilite) per decidere quali programmi dovrebbero essere incarcerati?

-M

In generale, potresti voler usare chroot per diversi motivi:

• necessità di un'altra versione di distribuzione / architettura / distribuzione senza voler utilizzare OpenVZ o una macchina virtuale. Ad esempio, utilizzo chroot per avere ambienti di compilazione sia i386 che amd64 su una macchina amd64.
• limitare l'accesso al sistema agli utenti. Ad esempio, puoi usare chroot insieme a scponly per limitare i comandi a cui gli utenti hanno accesso. Si tratta di un sistema di jailing molto limitato poiché, ad esempio, hanno ancora accesso alla rete.
• limitare l'accesso al sistema ai programmi. In generale, potresti volerlo fare principalmente per i demoni, come bind o apache. In questo modo, questi programmi non avranno accesso diretto al sistema, quindi se un utente malintenzionato potesse utilizzare una violazione della sicurezza del programma, non accederà direttamente al sistema, ma si troverà invece all'interno del chroot. Aiuta a migliorare la sicurezza, ma non garantisce che il sistema sia sicuro.

Quando la risposta non è "per motivi di sicurezza". Vedi Abuso di chroot .

Quando è stato suggerito che chroot viene spesso utilizzato come strumento di sicurezza, Adrian Bunk ha replicato, "le persone incompetenti che implementano soluzioni di sicurezza sono un vero problema". Alan ha aggiunto, "chroot non è e non è mai stato uno strumento di sicurezza. Le persone hanno costruito cose basate sulle proprietà di chroot ma estese (jail BSD, Linux vserver) ma sono piuttosto diverse".

Se hai un programma che richiede un set / versioni di librerie diverso da quello installato sul tuo sistema, sarebbe un buon candidato per un'installazione "chroot".

chroot è anche utile per installare versioni diverse della distribuzione Linux nel proprio ambiente, senza usare una VM o un emulatore ( Configurare un chroot Debian sotto Red Hat ).

Tutto dipende da quanto sei paranoico. Per la maggior parte degli scopi e degli scopi, ogni servizio dovrebbe essere sottoposto a chroot per ragioni di sicurezza. Tuttavia, potrebbe non essere fattibile farlo per tutto perché può diventare un po 'noioso provare a replicare tutto. Un'altra possibilità da considerare a fini di isolamento è l'uso di macchine virtuali leggere come OpenVZ / VServer, che sono essenzialmente come chroot, solo di più.