chroot를 사용하는 것이 언제 적절합니까?

항상 BIND를 chroot해야한다고 들었습니다. 그럴 수 있지. 그러나 다른 프로그램은 어떻습니까? 어떤 프로그램을 구금해야하는지 결정하기위한 "규정"(개인적 또는 광범위하게 허용 / 확립 된)은 무엇입니까?

-미디엄

일반적으로 몇 가지 이유로 chroot를 사용하려고 할 수 있습니다.

• OpenVZ 또는 가상 머신을 사용하지 않고 다른 배포 / 아키텍처 / 배포 버전이 필요합니다. 예를 들어, chroot를 사용하여 amd64 시스템에서 i386 및 amd64 컴파일 환경을 모두 갖습니다.
• 사용자의 시스템 액세스를 제한합니다. 예를 들어, chroot를 scponly와 함께 사용하여 사용자가 액세스 할 수있는 명령을 제한 할 수 있습니다. 예를 들어 여전히 네트워크에 액세스 할 수 있기 때문에 매우 제한적인 재이용 시스템입니다.
• 시스템 액세스를 프로그램으로 제한 일반적으로 바인드 또는 아파치와 같은 데몬에 대해이를 수행 할 수 있습니다. 이런 방식으로 이러한 프로그램은 시스템에 직접 액세스 할 수 없으므로 공격자가 프로그램의 보안 위반을 사용할 수 있으면 시스템에 직접 액세스하지 않고 대신 chroot에서 자신을 찾을 수 있습니다. 보안 강화에 도움이되지만 시스템이 안전하다는 보장은 없습니다.

대답이 '보안상의 목적'이 아닌 경우 chroot 사용을 참조하십시오 .

chroot가 보안 도구로 자주 사용된다는 제안을 받았을 때 Adrian Bunk는 "보안 솔루션을 구현하는 무능한 사람들은 실제 문제"라고 반박했습니다. Alan은 "chroot는 보안 도구가 아니며 보안 도구가 아닙니다. 사람들은 chroot의 속성을 기반으로하지만 확장 된 (BSD jails, Linux vserver) 것들을 기반으로 구축했지만 상당히 다릅니다."라고 덧붙였습니다.

시스템에 설치된 것과 다른 라이브러리 세트 / 버전이 필요한 프로그램이있는 경우 "chrooted"설치에 적합합니다.

chroot는 VM 또는 에뮬레이터를 사용하지 않고 자체 환경에 다른 Linux 배포판을 설치하는 데 편리합니다 ( Red Hat에서 데비안 chroot 설정 ).

그것은 모두 당신의 편집증에 달려 있습니다. 대부분의 의도와 목적을 위해, 보안상의 이유로 각 서비스는 chroot해야합니다. 그러나 모든 것을 복제하려고하면 약간의 지루한 노력을 기울일 수 있으므로 모든 것을 위해이 작업을 수행하는 것은 불가능할 수 있습니다. 격리 목적으로 고려해야 할 또 다른 가능성은 본질적으로 chroot와 비슷한 OpenVZ / VServer와 같은 경량 가상 머신을 사용하는 것입니다.