Безопасность в chroot

chroot, chroot пользователи, debian, linux, network

2

8

Поднял на своей виртуалки kvm связку netns+chroot. Я случайно обнаружил, что если в chroot выполнить например, fdisk -k /dev/vda - то мы увидим реальную таблицу жёсткого диска и сможем ей манипулировать. Ещё можно в chroot делать так: chroot /proc/1/cwd/ - то мы выйдим за пределы chroot. Как можно избежать выхода пользователя за пределы в chroot?

Ссылка

←	IP over Citrix

Mount.ntfs съедает всю оперативную память.

→

lxc (chroot + свой сетевой стек) + pid namespace (подставной рут).

~~stalkerhouse~~
(18.05.16 18:25:04 MSK)

Очевидно же завести в chroot обычного пользователя и понизить права процессов.

~~rezedent12~~ ☆☆☆
(18.05.16 19:46:45 MSK)

Ссылка

Как можно избежать выхода пользователя за пределы в chroot?

Использовать вместо него LXC?

MrClon ★★★★★
(18.05.16 23:21:31 MSK)

Ссылка

use systemd-nspawn

ionanahin ★★★
(19.05.16 14:28:27 MSK)

Ссылка

Ответ на: комментарий от stalkerhouse 18.05.16 18:25:04 MSK

Чтото я немного неправильно написал. Должно было так: lxc = chroot + net nаmespace (свой отдельный сетевой стек) + pid namespace (подставной рут).

~~stalkerhouse~~
(19.05.16 14:37:35 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IP over Citrix

Mount.ntfs съедает всю оперативную память.

→