Różnica między chroot a więzieniem

13

Przeczytałem ten samouczek - https://help.ubuntu.com/community/BasicChroot - i zrozumiałem, że chroot to proces zmiany, /podczas gdy nowe ograniczone środowisko to „więzienie”. Ale niektórzy mówią, że się mylę, a chroot i więzienia to 2 zupełnie różne rzeczy.

Czy ktoś może wyjaśnić mi różnicę w prostych słowach?

użytkownik1437328
źródło
1
Inną opcją może być ograniczona powłoka zamiast chroot. Może to być mniej bezpieczne.
ott--

Odpowiedzi:

5

Termin więzienia pochodzi ze świata FreeBSD i odnosi się do bardziej rygorystycznego sposobu ograniczania dostępu użytkownika do systemu, chociaż chroot istnieje we FreeBSD jako osobny mechanizm. Jest to coś w rodzaju (posortowane według poziomu separacji):

Chroot <Wirtualizacja na poziomie systemu operacyjnego: (Więzienie FreeBSD ≤ Linux OpenVZ) <Parawirtualizacja: XEN

Andriej Michałow
źródło
4

Krótka odpowiedź brzmi: „Oboje macie rację” -

chroot„Ed środowisko jest często nazywany«chroot jail». Zasadniczo ogranicza widok zestawu procesów, dlatego uważają, że podanym katalogiem jest katalog główny systemu plików.

Nie należy tego mylić z jailfunkcjonalnością FreeBSD , którą jest chroot na sterydach (z dużą ilością dodatkowej funkcjonalności, która zapewnia większą izolację niż zwykła chroot).


Ze względu na przejrzystość najlepiej określać chrootśrodowiska ed jako „środowisko chrootowane” (lub użyć pełnego wyrażenia „więzienie chroot”), aby je rozróżnić - szczególnie, gdy mówimy o systemie FreeBSD.

voretaq7
źródło
3

Powiedziałbym, że „więzienie” to ogólny termin, podczas gdy „chroot” nie. chroot to tylko jedna z kilku możliwości ograniczenia dostępu do procesu. Jednak nigdy nie słyszałem o „więzieniu” w innym kontekście. Możesz użyć AppArmor, SELinux i tym podobnych, aby osiągnąć podobne wyniki, ale „AppArmor więzienie” wydaje się być rzadkim terminem. Z drugiej strony bezpieczeństwo nie jest jedynym powodem korzystania z chroot. Chociaż efekt może być taki sam, nie ma sensu mówić o „więzieniu chroot” w niektórych sytuacjach, gdy celem nie jest bezpieczeństwo, ale specjalna konfiguracja dla określonego procesu.

Hauke ​​Laging
źródło
1

„chroot” mówi „Uruchom tutaj system plików root” i ma aplikacje wykraczające poza „więzienie”, np. uzyskiwanie dostępu / naprawę uszkodzonego systemu operacyjnego z LiveCD; zdarza się również, że jest „sposobem na zrobienie więzienia w Linuksie”.

Andrzej
źródło