Когда целесообразно / целесообразно использовать chroot?

Я все время слышу о необходимости chroot BIND. Справедливо. Но как насчет других программ? Каковы «правила» (личные или общепринятые / установленные) для принятия решения о том, какие программы следует посадить в тюрьму?

-М

В общем, вы можете использовать chroot по нескольким причинам:

• потребность в другом дистрибутиве / архитектуре / дистрибутивной версии без желания использовать OpenVZ или виртуальную машину. Например, я использую chroots для компиляции среды i386 и amd64 на машине amd64.
• ограничение доступа к системе для пользователей. Например, вы можете использовать chroot вместе со scponly для ограничения команд, к которым у пользователей есть доступ. Это очень ограниченная система тюремного заключения, так как они все еще имеют доступ к сети, например.
• ограничение доступа к системе для программ. В общем, вы можете сделать это, в основном, для демонов, таких как bind или apache. Таким образом, эти программы не будут иметь прямого доступа к системе, поэтому, если злоумышленник сможет использовать нарушение безопасности программы, он не получит прямой доступ к системе, а вместо этого окажется в изолированном хранилище. Это помогает повысить безопасность, но не является гарантией безопасности вашей системы.

Когда ответ не «в целях безопасности». См. Злоупотребление chroot .

Когда было высказано предположение, что chroot часто используется в качестве инструмента безопасности, Адриан Банк ответил, что «некомпетентные люди, внедряющие решения безопасности, являются настоящей проблемой». Алан добавил: «chroot не является и никогда не был инструментом безопасности. Люди создавали вещи, основываясь на свойствах chroot, но расширенных (BSD jails, Linux vserver), но они совершенно разные».

Если у вас есть программа, для которой требуется набор / версии библиотек, которые отличаются от установленных в вашей системе, это было бы хорошим кандидатом для установки «chrooted».

chroot также удобен для установки другой версии дистрибутива Linux внутри их собственной среды, без использования виртуальной машины или эмулятора ( Настройка chroot Debian под Red Hat ).

Все зависит от того, насколько ты параноик. Для большинства целей и целей каждый сервис должен быть изолирован для обеспечения безопасности. Тем не менее, это может быть неосуществимо для всего, поскольку это может быть немного утомительным, пытаясь воспроизвести все. Еще одна возможность, которую можно рассмотреть в целях изоляции, - это использование облегченных виртуальных машин, таких как OpenVZ / VServer, которые по сути похожи на chroot, только в большей степени.