LINUX.ORG.RU

chroot нужен ли?


0

2

Собственно на фоне вот этого создается впечатление, что чрут то ещё ведро.
Использует ли кто его? Как оно?
Сам думаю поместить в него некоторые сервисы на рабочей машине, потому и спрашиваю.


Если сервисы понижают свои привилегии после chroot, сбежать таким образом они не смогут.

AITap ★★★★★
()
Ответ на: комментарий от AITap

Бывают уязвимости, с которыми теоретически можно получить рута. Поэтому и grsec.

x3al ★★★★★
()

Ты прям америку открыл. Естественно, из chroot'а можно выйти. В freebsd есть «продвинутый chroot» под названием jail, из него выйти нельзя.

Reset ★★★★★
()

chmod нужен ли?

запирать рута в chroot - все равно что запирать в тюрьму зека с полным набором инструментов, т.е. смысла никакого.

Rost ★★★★★
()

Ставил все сетевые сервисы под chroot, в том числе sendmail.

При очередном эксплойте на всем извемстный BIND, не стал его апдейтить. Напрягся и начал чаще парсить логи. Через пару недель проатаковали, BIND упал без каких либо последствий.
С довольным лицом выслушал обеденные жалобы пользователей и проапдейтил BIND.

anonymous
()

Смотря ведь для чего использовать. Если просто отградить одно окружение от другого и нет опасности что кто-то будет пытаться джеибрейкнуть - то сойдет, иначе используй виртуализацию.

gescheit
()

Просто используй jail(8). Это сильно переработанный chroot(8).

iZEN ★★★★★
()
Ответ на: комментарий от dimon555

Проблема в том, что выход из chroot'а - фича, а гипотетический выход из jail - баг.

Reset ★★★★★
()
Ответ на: комментарий от freebsd-online

в Линуксе есть аналог jail - называется OpenVZ

а напрямую сравнивать jail и chroot некорректно

anonymous
()
Ответ на: комментарий от Reset

> grsecurity нигде не используется, поэтому будем считать, что его нет
hardened gentoo

Nao ★★★★★
()

Просто chroot изначально не задумывался как средство для безопасного огораживания.
Про openvz уже выше сказали.

Nao ★★★★★
()

Whilst chroot() is reasonably secure, a program can escape from its trap. So long as a program is run with root (ie UID 0) privilages it can be used to break out of a chroot()ed area. For a user to do this, they would need access to:

* C compiler or a Perl interpreter * Security holes to gain root access

Ещё одна веская причина не держать демонов запущенными от рута. У меня это либо специфический демон (apache например) либо nobody.

Deleted
()
Ответ на: комментарий от Deleted

Created: 2002-05-12
Last changed: 2002-05-12

Что само по себе намекает.

Deleted
()
Ответ на: комментарий от Reset

ничего себе чрут :) джейл это практически виртуализация

x0r ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.