LINUX.ORG.RU
ФорумAdmin

Безопасность в chroot

 , , , ,


2

8

Поднял на своей виртуалки kvm связку netns+chroot. Я случайно обнаружил, что если в chroot выполнить например, fdisk -k /dev/vda - то мы увидим реальную таблицу жёсткого диска и сможем ей манипулировать. Ещё можно в chroot делать так: chroot /proc/1/cwd/ - то мы выйдим за пределы chroot. Как можно избежать выхода пользователя за пределы в chroot?

★★★★★

Очевидно же завести в chroot обычного пользователя и понизить права процессов.

rezedent12 ☆☆☆
()

Как можно избежать выхода пользователя за пределы в chroot?

Использовать вместо него LXC?

MrClon ★★★★★
()
Ответ на: комментарий от stalkerhouse

Чтото я немного неправильно написал. Должно было так: lxc = chroot + net nаmespace (свой отдельный сетевой стек) + pid namespace (подставной рут).

stalkerhouse
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.