답변:
chroot환경 에서 응용 프로그램을 실행할 수 있습니다. 즉 /응용 프로그램이 실제가 아니라는 것을 알 수 /있습니다. 완전히 새로운 파일 시스템 계층을 생성하고 --bind필요한 모든 것을 마운트 ( )합니다. 관련 요점은 : 당신은 진짜를 장착 할 수 있습니다 ~/tmp받는 /tmp의 chroot환경을 제공합니다.
chroot(수퍼 유저 권한이 필요한) 사용 대신 Linux 컨테이너 ( lxc) 와 거의 같은 작업을 수행 할 수 있습니다 . 익숙 lxc하지는 않지만 호스트 시스템에 대한 일반적인 사용자 프로세스이므로 컨테이너 내에서 이러한 구성을위한 수퍼 유저 일 필요는 없습니다.
chroot(당신의 전체를 교체하는 추가 설정이 필요 /단지를, /tmp모든 액세스하므로, /etc, /var, 등이, 또한 "감옥"내부 될 것입니다) 자체 (이하 "수감"프로그램의 보안 문제를 생성 할 수있다 가짜를 설정할 때 권한에주의를 기울이지 않으면 일반적으로 제한이 아닌 파일 시스템의 일부를 조작 할 수 있습니다 /.
/이로만 작성되도록 제한되지 않은 경우 root"jailed"사용자는 /etc/passwd; 그러면 외부에서 불가능한 권한 에스컬레이션에 사용할 수 있습니다 chroot. 일반적으로 chroot나머지 파일 시스템을 숨기는 데 사용되는 많은 Linux FTP 서버는 이제 루트가 아닌 사용자가 디렉토리를 쓸 수 있으면 거부합니다.
chroot있거나lxc할 수있는 것에 대해 듣지 못했습니다 . 또한 수퍼 유저가되지 않고이를 달성 할 수있는 방법이 있다는 것을 아는 것도 좋습니다.