chroot應用

作者: cross 日期: 2007-04-15 19:50

字體大小: 小中大

Quote: http://www.real-blog.com/linux-bsd-notes/375

chroot (全寫為 change root) 是將整個 process 限制在指定目錄內的工具，這個限制的目錄一般稱之為 "監獄" (jail)。當使用了 chroot 後，當一個伺服器發生安全問題時，也不致於波及到整個系統。

Chrooted SSH/SFTP On Fedora 7
ref: http://www.howtoforge.com/chroot_ssh_sftp_fedora7

Chrooting BIND
ref: http://phorum.study-area.org/viewtopic.php?p=88384&sid=54cdda8ea4cde386cf8b4fa22d0c5ba1
ref: http://wiki.ubuntu.org.cn/index.php?title=Bind9%E5%AE%89%E8%A3%85%E8%AE%BE%E7%BD%AE%E6%8C%87%E5%8D%97&variant=zh-tw#Chrooting_BIND9

2008/02/14
Quote: http://tetralet.luna.com.tw/index.php?op=ViewArticle&articleId=197&blogId=1

chroot 簡介
chroot (change root directory) 這個指令是用來指定新的 / 的路徑。

簡單得說，因為 Linux 是一個檔案導向的系統，所以我們可以在某一個目錄中建立另一個 Linux 目錄結構，然後使用 chroot 指令來進入這一個目錄中。之後所有的程式在運作時將會把這個目錄視同為 /。這樣，我們就可以輕易得打造一個虛擬的 Linux 運作環境。

但值得注意的是，這個給 chroot 用的虛擬環境其實只要能讓您想運作的特定的程式，如：bind，能夠執行即可；並沒有必要把整個完整的 Linux 結構全放進來。也就是說，我們可以試著打造一個不到 1MB 就能夠順利運行的 chroot 環境。如果您想知道對此的一些進階的實作細節，請不妨參考 chroot-BIND HOWTO 裡的說明。

因此，chroot 常被用來建立一個高度安全的 Linux 運作環境，因為即使這個虛擬的 Linux 運作環境不幸被突破了，入侵者得到的常常是空無一物，甚至是什麼程式都不能執行的 Linux 空殼。

註：
利用 chroot 環境雖可提供較高的安全性，但因為只有 root 才可以執行 chroot 指令，因此若被取得 chroot 環境的 root 權限時，將會被視為已被取得原系統的 root 權限，因為入侵者可以藉由呼叫 chroot() 來切換到系統真正的 / 目錄。chroot 的安全性並不如想像中那麼的銅牆鐵壁。