Linux altındaki chroot hapishanesi hakkında çok şey duydum / okudum fakat daha önce hiç kullanmadım (Fedora'yı günlük kullanıyorum), peki chroot "hapishane" nedir? Ne zaman ve neden kullanıp kullanabilirim ve bilmem gereken başka bir şey var mı? Bir tane yaratmaya nasıl giderim?
Yanıtlar:
Chroot hapishanesi, bir süreci ve çocuklarını sistemin geri kalanından izole etmenin bir yoludur. Kök kullanıcıları hapisten çok kolay bir şekilde ayrılabildiklerinden, yalnızca kök olarak çalışmayan işlemler için kullanılmalıdır.
Buradaki fikir, bir işlemin çalışması için gereken tüm sistem dosyalarını kopyaladığınız veya bağladığınız bir dizin ağacı oluşturmanızdır. Daha sonra chroot()bu yeni ağacın tabanında yer alacak kök dizini değiştirmek için sistem çağrısını kullanın ve bu chroot'd ortamında çalışan işlemi başlatın. Değiştirilmiş kök dışındaki yollara referans veremediğinden, bu konumlarda kötü amaçlı işlemler (okuma / yazma vb.) Gerçekleştiremez.
Linux'ta, bağlama bağlarını kullanmak, chroot ağacını doldurmak için harika bir yoldur. Eğer gibi klasörlerde çekebilir, o Kullanılması /libve /usr/libçekerek değil iken /usr, örneğin. Sadece hapishane dizininde oluşturduğunuz dizinleri istediğiniz dizin ağaçlarına bağlayın.
firejailçalışıyor.
/binroot kullanıcısı tarafından yüklendirebilir mi? @Ben Combee
"chroot hapis" gerçekten ölmesi gereken bir yanlış isim, ancak insanlar onu kullanmaya devam ediyor. chrootdosya sisteminizde bir dizini dosya sisteminin kökü olarak simüle etmenize olanak sağlayan bir araçtır. Bu, şöyle bir klasör yapısına sahip olabileceğiniz anlamına gelir:
-- foo
-- bar
-- baz
-- bazz
Siz chroot foove yaparsanız ls /, göreceksiniz:
-- bar
-- baz
Bildiğim kadarıyla ls(ve çalıştırmak başka araçlar) endişe, bu dosya sistemi üzerinde sadece dizinleri vardır. “Hapis” in bir yanlış isim olması sebebi chroot, bir programı bu benzetilmiş dosya sisteminde kalmaya zorlamak için tasarlanmamıştır ; chroot "hapishanede" olduğunu bilen bir program oldukça kolay bir şekilde kaçabilir, bu nedenle chrootbir programın simüle edilmiş dosya sisteminizin dışındaki dosyaları değiştirmesini önlemek için bir güvenlik önlemi olarak kullanmamalısınız
chroot"hapishaneden" nasıl kaçılacağına dair bir örnek olması yararlı olacaktır . Gördüğüm vaka kök ayrıcalıkları tırmanan gerektirir. Kök ayrıcalıklara yükselen bir sürecin önlenmesi zor mudur?
chroot. Bu nedenle insanlar genellikle karıştırmak chrootve jailsaynı anlamda. Yapmazlar. "Hapishane" teriminin Bill Cheswick tarafından bir krakeri yakalamak için bir bal küpü oluşturduğu söylenir
chroot jailBir şey var mı , benim durumumda iyi bir fikir kullanmıyor mu?
Temel olarak sadece ortamınızın kök dizinini değiştiriyorsunuz. Yani
/
olur
/some-jail/ (or whatever directory you want)
Bir uygulama eriştiğinde / onu alır / biraz hapis /. Ayrıca uygulama / bazı hapishanelerin dışına çıkamaz, bu yüzden makinenizdeki hiçbir şeye erişemeyeceğini bilirsiniz. Bu, 'hey, yalnızca size verdiğim şeylere erişebilir ve sistemdeki hiçbir şeye erişemezsiniz' demenin çok basit bir yoludur.
“Ne zaman ve neden kullanabilirim?”
Bir kullanım, mutlak yol referansları yapan komutları (önyükleme zamanı ve başkaları) veya engellemek ve günlüğe kaydetmek isteyebileceğiniz komutları çalıştıran (ve belki de çalışmayan) komutları test etmektir. Aslında koşu ortamınızda çalışır.
Örneğin, Linux çalıştıran gömülü bir cihaza sahibim, bazı bashların çalışmasını kontrol etmek istiyorum. A) gerçek cihazda çalıştırıyorum (çünkü masaüstümde daha iyi araçlar var ve cihazı yapmak istemiyorum) b) çalışıyor masaüstümde gerçek (masaüstü sistemimin berbat olmasını istemediğim için)
Ek olarak, "chroot hapishanesinde" bulunmayan bir komut veya kabuk betiği çalıştırmayı denediğinde çalışma bir hatayla çıkacağından, hangi komutların veya diğer komut dosyalarının kullanıldığını keşfedebilirsiniz.
(Tabii ki, tüm domuz gitmek için, QEMU veya Docker veya bir VM içinde koşabilir, ancak bu bir VM görüntüsü oluşturma vs. içerir - çok daha fazla iş)