Hodně jsem slyšel/četl o chroot vězení pod linuxem, ale ještě jsem ho nikdy nepoužil (Fedora používám každý den), takže co je chroot „vězení“? Kdy a proč ji mohu/nepoužít a je ještě něco, co bych měl vědět? Jak bych ho vytvořil?
Přijatá odpověď:
Chroot vězení je způsob, jak izolovat proces a jeho potomky od zbytku systému. Měl by být používán pouze pro procesy, které neběží jako root, protože uživatelé root se mohou z vězení dostat velmi snadno.
Myšlenka je taková, že vytvoříte strom adresářů, kde zkopírujete nebo propojíte všechny systémové soubory potřebné pro běh procesu. Poté použijete chroot() systémové volání ke změně kořenového adresáře tak, aby byl v základu tohoto nového stromu, a ke spuštění procesu běžícího v tomto chrootovém prostředí. Protože ve skutečnosti nemůže odkazovat na cesty mimo upravený kořenový adresář, nemůže v těchto umístěních provádět škodlivé operace (čtení/zápis atd.).
V Linuxu je použití připojení k připojení skvělým způsobem, jak naplnit chroot strom. Pomocí toho můžete vtáhnout složky jako /lib a /usr/lib aniž byste stáhli /usr , například. Stačí svázat adresářové stromy, které chcete, s adresáři, které vytvoříte v adresáři vězení.