Kapan tepat / bijaksana menggunakan chroot?

Saya mendengar tentang perlunya chroot BIND sepanjang waktu. Cukup adil. Tetapi bagaimana dengan program lain? Apa "aturan" (baik pribadi atau diterima secara luas / mapan) untuk memutuskan program mana yang harus dipenjara?

-M

Secara umum, Anda mungkin ingin menggunakan chroot karena beberapa alasan:

• perlu untuk versi distribusi / arsitektur / distribusi lain tanpa ingin menggunakan OpenVZ atau mesin virtual. Sebagai contoh, saya menggunakan chroots untuk memiliki lingkungan kompilasi i386 dan amd64 pada mesin amd64.
• membatasi akses ke sistem untuk pengguna. Misalnya, Anda dapat menggunakan chroot bersama dengan scponly untuk membatasi perintah yang dapat diakses pengguna. Ini adalah sistem pemenjaraan yang sangat terbatas karena mereka masih memiliki akses ke jaringan misalnya.
• membatasi akses ke sistem ke program. Secara umum, Anda mungkin ingin melakukan itu untuk sebagian besar daemon, seperti bind atau apache. Dengan cara ini, program-program ini tidak akan memiliki akses langsung ke sistem, jadi jika penyerang bisa menggunakan pelanggaran keamanan program, itu tidak akan langsung mengakses sistem, tetapi akan menemukan dirinya di dalam chroot. Ini membantu meningkatkan keamanan, tetapi itu bukan jaminan bahwa sistem Anda aman.

Ketika jawabannya bukan 'untuk tujuan keamanan.' Lihat Menyalahgunakan chroot .

Ketika disarankan bahwa chroot sering digunakan sebagai alat keamanan, Adrian Bunk membalas, "orang yang tidak kompeten menerapkan solusi keamanan adalah masalah nyata." Alan menambahkan, "chroot bukan dan tidak pernah menjadi alat keamanan. Orang-orang telah membangun sesuatu berdasarkan properti chroot tetapi diperluas (BSD jails, Linux vserver) tetapi mereka sangat berbeda."

Jika Anda memiliki program yang memerlukan set / versi pustaka yang berbeda dari apa yang diinstal pada sistem Anda, itu akan menjadi kandidat yang baik untuk instalasi "chroot".

chroot juga berguna untuk menginstal versi distribusi Linux yang berbeda di dalam lingkungan mereka sendiri, tanpa menggunakan VM atau emulator ( Menyiapkan chroot Debian di bawah Red Hat ).

Itu semua tergantung pada seberapa paranoidnya Anda. Untuk sebagian besar maksud dan tujuan, setiap layanan harus chroot-ed untuk alasan keamanan. Namun, mungkin tidak layak untuk melakukan ini untuk semuanya karena bisa sedikit membosankan mencoba mereplikasi semuanya. Kemungkinan lain untuk dipertimbangkan untuk keperluan isolasi adalah penggunaan mesin virtual ringan seperti OpenVZ / VServer, yang pada dasarnya seperti chroot, hanya saja lebih dari itu.