Kiedy należy używać chroot?

Słyszę o konieczności ciągłego chrootowania BIND. Słusznie. Ale co z innymi programami? Jakie są „zasady” (osobiste lub powszechnie akceptowane / ustalone) przy podejmowaniu decyzji, które programy powinny zostać uwięzione?

-M

Ogólnie rzecz biorąc, możesz chcieć używać chroot z kilku powodów:

• potrzeba innej wersji dystrybucji / architektury / dystrybucji bez potrzeby korzystania z OpenVZ lub maszyny wirtualnej. Na przykład używam chroots, aby mieć środowiska kompilacji zarówno i386, jak i amd64 na komputerze z systemem amd64.
• ograniczenie dostępu do systemu do użytkowników. Na przykład możesz użyć chroot razem z scponly, aby ograniczyć polecenia, do których użytkownicy mają dostęp. Jest to bardzo ograniczony system więzienia, ponieważ wciąż mają na przykład dostęp do sieci.
• ograniczenie dostępu do systemu do programów. Ogólnie rzecz biorąc, możesz chcieć to zrobić głównie dla demonów, takich jak bind lub apache. W ten sposób programy te nie będą miały bezpośredniego dostępu do systemu, więc jeśli atakujący mógłby skorzystać z naruszenia bezpieczeństwa programu, nie uzyskałby bezpośredniego dostępu do systemu, ale znalazłby się w chroocie. Pomaga zwiększyć bezpieczeństwo, ale nie jest gwarancją bezpieczeństwa twojego systemu.

Gdy odpowiedź nie brzmi „ze względów bezpieczeństwa”. Zobacz Nadużycie chroot .

Kiedy zasugerowano, że chroot jest często używany jako narzędzie bezpieczeństwa, Adrian Bunk odparł: „niekompetentni ludzie wdrażający rozwiązania bezpieczeństwa to prawdziwy problem”. Alan dodał: „chroot nie jest i nigdy nie był narzędziem bezpieczeństwa. Ludzie budowali rzeczy w oparciu o właściwości chroot, ale rozszerzone (więzienia BSD, Linux vserver), ale są zupełnie inne”.

Jeśli masz program, który wymaga zestawu / wersji bibliotek, który jest inny niż zainstalowany w twoim systemie, byłby to dobry kandydat do instalacji „chrootowanej”.

chroot jest także przydatny do instalowania różnych wersji dystrybucji Linuksa w ich własnym środowisku, bez użycia maszyny wirtualnej lub emulatora ( Konfigurowanie chroota Debiana pod Red Hat ).

Wszystko zależy od tego, jak jesteś paranoikiem. Ze względu na większość intencji i celów każda usługa powinna być chrootowana ze względów bezpieczeństwa. Jednak może to nie być możliwe, aby zrobić to wszystko, ponieważ może być trochę żmudna próba odtworzenia wszystkiego. Inną możliwością rozważenia do celów izolacji jest użycie lekkich maszyn wirtualnych, takich jak OpenVZ / VServer, które są zasadniczo jak chroot, tylko bardziej.