chroot에 해당하는 창이 있습니까?


24

* nix 시스템에서 chroot 를 사용하여 두 프로세스를 서로 분리하고 나머지 시스템에서 분리 할 수 있습니다 . 창문 아래에 비슷한 보안 시스템이 있습니까? 아니면 두 프로세스가 서로의 파일을 읽거나 쓰지 못하게하는 방법이 있습니까?


1
보안 태그가 여기에 있는지 확실하지 않습니다. kerneltrap.org/Linux/Abusing_chroot
MDMarra


1
@ The Rook-맞습니다. 나는 단순히 당신이 그 질문을 바꾸고 싶을 수도 있다고 말하고있었습니다. 보안을 염두에두고 고안된 개념 (예 : 교도소)에서 chroot 또는 spin에 대한 확장이있었습니다. 귀하의 게시물에서는 chroot를 결코 의도하지 않은 보안 장치라고합니다.
MDMarra

1
@Nathan Adams 동의하지만 "레이어의 보안".
Rook

1
여기에서 비슷한 것을 요청한 것 같습니다 . Windows Server에서 이것을 설정 한 적이 있습니까? 당신이 받아 들인 대답은 이것을하는 방법을 설명하거나 불가능하지
않다고 말하지

답변:


5

chrooting을 통해 Windows에서 아무것도 얻지 못할 것이라고 확신합니다. 특정 요구 사항이 있습니까?

경우 어떤 구글의 최고 결과는 http://www.winquota.com/wj/ .

아마도 응용 프로그램 가상화 가 옵션 일 수 있습니까? Microsoft는 다음과 같이 말합니다.

물리적 환경에서 모든 응용 프로그램은 메모리 할당, 장치 드라이버 등을 포함한 다양한 서비스를 위해 OS에 의존합니다. 응용 프로그램과 운영 체제 간의 비 호환성은 서버 가상화 또는 프레젠테이션 가상화를 통해 해결할 수 있습니다. 그러나 동일한 OS 인스턴스에 설치된 두 응용 프로그램 간의 비 호환성을 위해서는 Application Virtualization이 필요합니다.


5
내 프로세스 중 하나가 잘못 작성되었고 안전하지 않은 경우가 많았습니다. 경영진은 "너무 비싸기 때문에"고치길 원하지 않습니다. 이 프로세스가 결국 소유 될 것으로 기대하며 시스템에 대한 영향을 제한하고 싶습니다. 실제로 얻을 것이 없다고 믿는다면 chroot에 대해 더 읽어야합니다.
Rook

1
@Rook Windows에서는 파일 시스템 레이아웃과 다른 액세스 권한을 가질 수 있습니다. 이 답변 의 의견 섹션에서 가슴 뛰는 것은 제쳐두고, 대부분의 사람들은 파일 시스템의 일부를 액세스 권한이없는 프로세스에서 격리하기 위해 취하는 접근 방식입니다. 사용자에게 필요한 파일 시스템 및 서비스의 하위 집합에 액세스하여 프로세스를 시작하기 만하면됩니다.
Asad Saeeduddin

@Asad Saeeduddin 파일 시스템에 대해 말하면, Windows는 USB 스틱에서 발견 된 신뢰할 수없는 실행 파일을 자동 실행 하지 않습니까? 몇 년입니까?
Rook

보안 관련이 아닌 특정 요구 사항이 있습니다. 이식하려는이 프로그램은 자체 루트 파일 시스템에서 작동 할 것으로 예상되며 현재 디렉토리를 올바르게 사용하도록 이식하는 데 노력이 필요합니다. 고맙게도 파일 시스템 독립적으로 작동합니다 .Windows에서는 실행중인 모든 드라이브의 루트에 흩어져 있습니다. Windows의 루트 디렉토리를 하위 디렉토리에 "별칭"할 수 있다면 훨씬 더 깨끗하고 추적하기가 쉬워 chroot를 원합니다.
자금 모니카의 소송


2

나는 이런 것을 사용하지 않을 것입니다. 당신은 Windows mate에서 실행 중입니다.

NTFS는 가장 정밀한 액세스 권한을 가지고 있습니다. 권한이 낮은 사용자로 시작하여이 단일 응용 프로그램의 파일에 대한 액세스 권한 만 사용자에게 부여하는 것은 어렵지 않습니다.

어떤 사용자가 어떤 디렉토리에서 무엇을 할 수 있는지 이미 정의 할 수있는 경우 보안 도구가 아닌 chroot와 같은 것을 사용할 필요가 없습니다.

리눅스에서 아파치를 자신의 사용자에게주는 것과 다르지 않으며, 그의 폴더 안에서만 작업 할 수 있습니다.


2
chroot가 왜 필요하지 않은지에 대한 정답입니다
Jim B

@rook은 골든 티켓 공격을 제거하기 위해 BPSAD 및 PTH 백서를 따르지 않았습니다. 내가 아는 한 여전히 * nix 기반의 kerb에서만 작동합니다.
Jim B

@Jim B 구획화는 브라우저, 데이터베이스 및 웹 서버에 대한 관리 권한을 정기적으로 부여하는 플랫폼에서 외부 적으로 들릴 수 있습니다. 그러나 샌드 박스는 플랫폼에 관계없이 기발한 필수 심층 방어 수단입니다.
Rook

@ rook, 나는 당신이 격리와 권리를 혼동하고 있다고 생각합니다 .Windows는 기본적으로 프로세스를 분리합니다. 프로세스는 권한이있는 경우에만 다른 프로세스에 액세스 / 통합하거나 영향을 줄 수 있습니다.
Jim B

@ JimB, 나는 생각하지 않습니다 (그래서 귀하의 의견을 완전히 이해하지 않으면). 예를 들어 Windows 7에서 프로세스를 시작하면 보안 프롬프트가 표시되지 않으며 시스템 프로세스에 대한 요청 없이도 프로세스가 스토리지 드라이브의 90 %를 읽을 수 있습니다. "C : \ Program Files"와 같이 수정하려고 할 때만 OS가 손목을 때릴 수 있지만 보안이 아니라 근본적인 필수 사항입니다.
dimitarvp

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.