web-dev-qa-db-ja.com

なぜchrootは安全でないと考えられているのですか?

私はここ数年、CentOSボックスで遊んでいます。だから私はかなり端末に慣れています。しかし、chrootは安全ではなく、それらの投稿の数は恐ろしいと主張する多くのブログ投稿を読みました。本当にそうですか?どうして?

私はchrootを使用して、シェルやコマンドをまったく使用せずに、特定のコンテキストでSFTPのみのユーザーをロックダウンします。それで、それに関するセキュリティの問題は何ですか?

質問は StackOverflowから追放されます

12
Aleksandr Makov

ほとんどの場合、ルートプロセスはchrootを簡単に終了できるからです。これは仕様によるものです。chrootはセキュリティデバイスとして意図されたものではありません。

Alan Coxが開発者をやや有名にした この動作を「修正」するためにカーネルパッチを提出し、chrootがセキュリティデバイスとして悪用されたが、意図されていなかったと主張した。

9
MDMarra

それが安全でないと考えられる理由の少なくとも1つの例を知っています。 chroot環境/procは分離されていないため、chrootで開始されたプロセスが所有していないリソースにアクセスするのはかなり簡単です。

SFTPにchrootされた環境を使用すると問題なく、セキュリティレベルが大幅に向上します。コンテナーベースの仮想化として悪用しないでください。これにより、より高いレベルのセキュリティが提供されます。この中で、@ MDMarraの回答の内容に下線を引きます。

6
gertvdijk