Вопрос: Когда целесообразно / разумно использовать chroot?


Я слышал, что нужно постоянно прокручивать BIND. Справедливо. Но как насчет других программ? Каковы «правила» (личные или общепринятые / установленные) для принятия решения о том, какие программы должны быть заключены в тюрьму?


9
2017-12-23 23:24


Источник




Ответы:


В общем, вы можете использовать chroot по нескольким причинам:

  • необходимость в другой версии распространения / архитектуры / распространения без необходимости использования OpenVZ или виртуальной машины. Например, я использую chroots, чтобы иметь как среды компиляции i386, так и amd64 на машине amd64.
  • ограничивая доступ к системе пользователям. Например, вы можете использовать chroot вместе с scponly, чтобы ограничить доступ пользователей, к которым у них есть доступ. Это очень ограниченная система разломов, поскольку они все еще имеют доступ к сети, например.
  • ограничивая доступ к системе программам. В общем, вы можете захотеть сделать это для демонов в основном, таких как bind или apache. Таким образом, эти программы не будут иметь прямого доступа к системе, поэтому, если злоумышленник может использовать нарушение безопасности программы, он не будет напрямую обращаться к системе, но вместо этого окажется внутри chroot. Это помогает повысить безопасность, но это не является гарантией безопасности вашей системы.

5
2017-12-24 09:55





Когда ответ не «в целях безопасности». Видеть Злоупотребление chroot,

Когда было предложено, чтобы chroot   часто используемый в качестве инструмента безопасности,   Адриан Бунк возразил: «Некомпетентный   люди, внедряющие решения безопасности   являются реальной проблемой ». Алан добавил:   «chroot не является и никогда не был   инструмент безопасности. Люди построили   вещи, основанные на свойствах   chroot, но расширенный (BSD jails, Linux   vserver), но они вполне   другой."


12
2017-12-24 00:35



Это новости для меня ... очень интересные. - Joseph Kern


Если у вас есть программа, для которой требуется набор / версии библиотек, которые отличаются от установленных в вашей системе, это будет хорошим кандидатом на установку «chrooted».

chroot также удобен для установки различной версии дистрибутива Linux внутри их собственной среды без использования виртуальной машины или эмулятора (Настройка chroot Debian под Red Hat).


6
2017-12-24 02:18





Все зависит от того, насколько вы параноикны. Для большинства целей и задач каждая служба должна быть исправлена ​​по соображениям безопасности. Тем не менее, это может оказаться невозможным для всего этого, поскольку он может немного утомиться, пытаясь воспроизвести все. Еще одна возможность рассмотреть в целях изоляции - использование легких виртуальных машин, таких как OpenVZ / VServer, которые по существу похожи на chroot, только более того.


-2
2017-12-24 00:21