Chroot'a eşdeğer bir pencere var mı?

24

Bir * nix sisteminde, iki işlemi birbirinden ve sistemin geri kalanından izole etmek için bir chroot kullanabilirim . Pencerelerin altında benzer bir güvenlik sistemi var mı? Veya iki sürecin birbirinize dosya okumasını / yazmasını engellemenin bir yolu var mı?

windows  windows-server-2008  security  chroot 
Kale
kaynak
1
Güvenlik etiketinin burada garanti edildiğinden emin değilim. kerneltrap.org/Linux/Abusing_chroot
MDMarra
1
@ The Rook - Bu kelteltrap tartışmasında, çekirdek devs chroot'un hiçbir zaman bir güvenlik aracı
olmadığına dikkat çekiyor
1
@ The Rook - Doğru, basitçe soruyu yeniden düzenlemek isteyebileceğini söylüyordum. Güvenlik göz önünde bulundurularak tasarlanan konsepte (hapishaneler gibi) chroot veya spinler eklenmiştir. Gönderinizde, chroot'u asla tasarlanmadığı bir güvenlik aygıtı olarak adlandırıyorsunuz.
MDMarra
1
@Nathan Adams Katılıyorum, ancak "katmanlardaki güvenlik".
Rook
1
Görünüşe göre burada oldukça benzer bir şey sordum . Bunu hiç Windows Server'da kurmayı başardınız mı? Kabul ettiğin cevap ne yapılacağını açıklamıyor, ne de mümkün olmadığını söylüyor ...
RomanSt

Yanıtlar:

5

Windows'ta chrooting ile bir şey kazanacağınızdan emin değilim - özel bir ihtiyacınız var mı?

Durumunda herhangi google üst sonucudur http://www.winquota.com/wj/ .

Belki de uygulama sanallaştırma bir seçenek olabilir? Microsoft'un bu konuda söyleyecekleri var:

Fiziksel bir ortamda, her uygulama, bellek ayırma, aygıt sürücüleri ve daha fazlası dahil olmak üzere bir dizi servis için işletim sistemine bağlıdır. Bir uygulama ile işletim sistemi arasındaki uyumsuzluklar sunucu sanallaştırması veya sunum sanallaştırması ile giderilebilir; ancak bir işletim sisteminin aynı örneğine kurulu iki uygulama arasındaki uyumsuzluklar için Uygulama Sanallaştırması gerekir.

Jon Rhoades
kaynak
5
İşlemlerimden biri kötü yazılmış ve güvensizdi, yönetim bunu düzeltmek istemiyor çünkü “çok pahalı” olurdu. Sonunda bu sürecin sahiplenilmesini bekliyorum ve sistemim üzerindeki etkiyi sınırlandırmak istiyorum. Gerçekten kazanacak bir şey olmadığına inanıyorsan, chrootlar hakkında daha çok şey okumalısın.
Rook
1
@Rook Windows'ta dosya sistemi düzeninden ayrılan erişim haklarına sahip olabilirsiniz. Bu cevabın yorumlar bölümünde göğsünüzü kaybettiniz , bu, çoğu insanın dosya sisteminin bölümlerini, erişim yetkisi olmayan bir işlemden izole etmek için uyguladığı yaklaşımdır; Kullanıcıya, işlemin, ihtiyaç duyduğu dosya sisteminin ve hizmetlerin alt kümesine erişim altında başlatılması yeterlidir.
Asad Saeeduddin,
@ Asad Saeeduddin Dosya sistemlerinden bahsetmek, pencereler sadece bir USB çubuğunda bulunan güvenilmeyen çalıştırılabilir dosyaları otomatik olarak çalıştırmıyor mu? Hangi yıl?
Kale,
Güvenlikle ilgili olmayan özel bir ihtiyacım var - taşıdığım bu program kendi kök dosya sisteminde çalışmayı bekliyor ve geçerli dizinleri doğru şekilde kullanması için büyük bir çaba harcıyordum. Neyse ki, dosya sisteminden bağımsız olarak çalışır - Windows'ta, üzerinde çalıştığı her hangi bir sürücünün kökünde yayılır. Sadece Windows'taki kök dizini bazı alt dizine "takma" edebilseydim, takip etmek daha temiz ve kolay olurdu, bu yüzden chroot istemek gerekirdi.
Fon Monica'nın Davası
2

Böyle bir şey kullanmazdım, sen Windows eşinin altında koşuyorsun.

NTFS, bulabileceğiniz en iyi ayarlanmış erişim haklarına sahiptir. Bir prozess'in daha düşük ayrıcalıklı kullanıcıyla başlamasını sağlamak ve bu kullanıcıya yalnızca bu tek uygulamanın dosyalarına erişmesini sağlamak zor değildir.

Hangi kullanıcının hangi dizinde yapabileceğini zaten tanımlayabildiğiniz zaman, bir güvenlik aracı olmayan chroot gibi bir şey kullanmanıza gerek yoktur.

Apache'yi Linux altında kendi kullanıcısına vermekten farklı, sadece kendi klasörlerinde çalışabilir.

Tamam Dokey
kaynak
2
Chroot'un neden gerekli olmadığına dair doğru cevap bu
Jim B
@ Rook, daha sonra altın bilet saldırılarını ortadan kaldırmak için BPSAD ve PTH teknik incelemelerini takip etmekte başarısız oldular. Bildiğim kadarıyla sadece hala * nix tabanlı bordür üzerinde çalışıyor.
Jim B
@Jim B bölümlendirmesi rutin olarak tarayıcıya, veritabanına ve web sunucusuna idari haklar veren bir platformda yabancı gelebilir. Bununla birlikte, kum havuzları, platformdan bağımsız olarak, kapsamlı bir temel savunma önlemidir.
Rook
@rook, bence hakların izolasyonla karıştırıldığını düşünüyorum, pencereler varsayılan olarak işlemleri izole ediyor. İşlemler, yalnızca izne sahipse başka bir işleme erişebilir / bunlarla bütünleşebilir veya bunları etkileyebilir.
Jim B
@JimB, sanmıyorum (bu yüzden yorumunuzu tamamen yanlış anlamadığım sürece). Örneğin, Windows 7'de bir işlem başlatmak size hiçbir güvenlik uyarısı vermez ve sonrasında işlem, depolama sisteminizin% 90'ını herhangi bir sistem işlemi sormak zorunda kalmadan okuyabilir. Yalnızca değiştirmeye çalışırsa, "C: \ Program Files" deyince işletim sistemi bileklerini tokatlayabilir, ancak bu güvenlik değil, zaruri olan temel şartlar.
dimitarvp
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.