Chroot ne zaman uygun / ihtiyatlıdır?

BIND'i her zaman köklendirmek gerektiğini duydum. Yeterince adil. Peki ya diğer programlar? Hangi programların hapsedilmesi gerektiğine karar vermek için "kurallar" (kişisel veya yaygın olarak kabul edilen / oluşturulmuş) nelerdir?

-M

Genel olarak, birkaç nedenden dolayı chroot kullanmak isteyebilirsiniz:

• OpenVZ veya sanal bir makine kullanmak istemeden başka bir dağıtım / mimari / dağıtım sürümüne ihtiyaç duyar. Örneğin, bir amd64 makinesinde hem i386 hem de amd64 derleme ortamlarına sahip olmak için chrootları kullanıyorum.
• sisteme erişimi kullanıcılara kısıtlamak. Örneğin, kullanıcıların erişebileceği komutları kısıtlamak için chroot'u scponly ile birlikte kullanabilirsiniz. Bu, örneğin ağa hala erişimleri olduğundan çok sınırlı bir hapishane sistemidir.
• sisteme programlara erişimi kısıtlamak. Genel olarak, bunu çoğunlukla bağlama veya apache gibi cinler için yapmak isteyebilirsiniz. Bu şekilde, bu programların sisteme doğrudan erişimi olmayacaktır, bu nedenle bir saldırgan programın güvenlik ihlalini kullanabiliyorsa, sisteme doğrudan erişemez, bunun yerine kendini krootun içinde bulur. Güvenliği artırmaya yardımcı olur, ancak sisteminizin güvenli olduğunu garanti etmez.

Cevap 'güvenlik amacıyla' olmadığında. Bkz. Kötüye kullanımı kötüye kullanma .

Chroot'un bir güvenlik aracı olarak sıklıkla kullanıldığı öne sürüldüğünde, Adrian Bunk “güvenlik çözümlerini uygulayan beceriksiz insanlar gerçek bir sorundur” diye karşılık verdi. Alan, "chroot bir güvenlik aracı değildir ve asla bir güvenlik aracı değildir. İnsanlar, chroot özelliklerine dayanarak bir şeyler inşa ettiler, ancak genişlediler (BSD hapishaneleri, Linux vserver) ama oldukça farklılar."

Sisteminizde kurulu olandan farklı bir kütüphane seti / sürümleri gerektiren bir programınız varsa, bu, "kroşe" kurulum için iyi bir aday olacaktır.

chroot ayrıca, VM veya emülatör kullanmadan ( Red Hat altında bir Debian chroot ayarlama) kullanmadan Linux ortamının farklı sürümünü kendi ortamlarına yüklemek için kullanışlıdır .

Her şey ne kadar paranoyak olduğunuza bağlı. Çoğu amaç ve amaç için, güvenlik nedeniyle her hizmetin köklendirilmesi gerekir. Bununla birlikte, her şeyi çoğaltmaya çalışırken biraz sıkıcı olabileceğinden, bunu her şey için yapmak uygun olmayabilir. Yalıtım amaçları için dikkate alınması gereken bir başka olasılık da, aslında daha çok, aslında kroot gibi olan OpenVZ / VServer gibi hafif sanal makinelerin kullanılmasıdır.