왜 chroot가 안전하지 않은 것으로 간주됩니까?

나는 몇 년 동안 CentOS 상자를 가지고 놀았습니다. 그래서 나는 터미널에 꽤 편안합니다. 그러나 chroot가 안전하지 않다고 주장하는 블로그 게시물을 많이 읽었습니다. 정말 그래요? 왜?

나는 chroot를 사용하여 쉘이나 명령없이 SFTP 전용 사용자를 특정 컨텍스트에서 잠급니다. 실제로 보안 문제는 무엇입니까?

질문이 StackOverflow 에서 추방되었습니다 .

첫째 : 질문은 Stack Overflow 에서 닫히거나 마이그레이션되지 않았지만 분명히 OT입니다. 적절한 조치는 마이그레이션 될 때까지 기다리거나 플래그를 지정한 후 다른 사이트에 게시하지 않고 모드를 요청하는 것입니다. 그러나 두 번째 : "CentOS를 가지고 놀아"면, 여기도 잘못된 것입니다. 이 사이트는 전문가가 아닌 전문 시스템 관리자를위한 사이트입니다 . FAQ 를 참조하십시오 .

— Sven

@SvenW에게 감사드립니다. 앞으로의 팁을 기억하겠습니다. 그리고 '두 번째'에 관해서는, 미안하지만, 내 질문이 FAQ를 어떻게 위반하는지 알 수 없습니다. 지금 두 번 읽은 후에는 그렇지 않다고 말할 수 있습니다. "CentOS와 함께 놀다"라는 문구에 따르면, chrooting 및 SFTP 전용 사용자이며 보안에 대해 고려하는 것이 전문가가 회사 나 다른 곳에서도 혜택을 볼 수있는 매우 심각한 주제라는 것은 매우 분명했습니다. 전문적인 "환경.

— Aleksandr Makov

@sven 당신이 모르는 경우 SF는 그들이 우리에게 보내는 나쁜 질문의 수로 인해 SO의 마이그레이션 목록에서 제거되었습니다.

— MDMarra

답변:

대부분의 경우 루트 프로세스는 chroot를 쉽게 종료 할 수 있기 때문입니다. chroot는 결코 보안 장치로 의도 된 것이 아니기 때문에 이것은 의도적으로 설계된 것입니다.

Alan Cox 는 chroot가 보안 장치로 남용되었지만 결코 하나가되어서는 안된다고 주장하면서이 동작을 "수정"하기 위해 커널 패치를 제출 한 개발자 를 다소 유명하게 만들었습니다 .

— MDMarra
소스

완전한! 대단히 감사합니다. 이것은 루트에 있거나 루트에서 액세스 할 수있는 루트 프로세스의 문제입니다. 감사.

— Aleksandr Makov

방금 unixwiz.net/techtips/mirror/chroot-break.html에 표시된 C 프로그램 을 Linux 4.18에서 루트로 실행하면 chroot를 벗어날 수 있음을 확인했습니다.

— pts

따라서 루트 권한을 양도하지 마십시오. 일반 "보안"시스템도 루트 계정이 있습니다.

— Cees Timmerman

왜 그것이 안전하지 않은 것으로 여겨지는지 적어도 하나의 예를 알고 있습니다. chroot 환경 /proc은 격리되어 있지 않으므로 chroot에서 시작된 프로세스가 소유하지 않은 리소스에 쉽게 액세스 할 수 있습니다.

SFTP에 chroot 된 환경을 사용하는 것이 좋으며 보안 수준을 크게 향상시킵니다. 컨테이너 기반 가상화로 남용하지 마십시오. 더 많은 보안 수준을 제공합니다. 여기에서 @MDMarra의 답변에 무엇이 있는지 강조 표시합니다.

— 거트
소스

감사합니다. 이제 chroot 자체는 보안면에서 나쁘지 않지만 보안은 설정된 환경에 달려 있습니다.

— Aleksandr Makov

실제로 chroot는 보안 장치가 아니기 때문에 보안이 나쁘지 않습니다. 그것은 같은 바이너리의 여러 버전을 다른 의존성으로 나란히 실행하기위한 개발 도구였습니다. 서비스를 올바르게 보호하는 대신 사용할 수는 없지만 서비스가 무엇인지, 무엇이 아닌지 이해하는 한 특정 상황에서 도움이 될 수 있습니다.

— MDMarra

따라서 MDMarra는 기본적으로 chroot는 SSH 연결을 캡처하는 데 사용되지 않습니다. 그렇다면 "들어오는 SSH 연결을 루팅"하는 것이 다소 비전문적 인 것처럼 들리므로 피해야합니까?

— Aleksandr Makov

반드시 그럴 필요는 없으며, 권한 상승 또는 chroot에서 루트로 실행중인 프로세스로 이어질 수있는 익스플로잇은 사소한 일임을 인식 할 필요는 없습니다. 확실히 퍼즐의 한 조각 일 수는 있지만 전부가되어서는 안됩니다.

— MDMarra