Собственно на фоне вот этого создается впечатление, что чрут то ещё ведро.
Использует ли кто его? Как оно?
Сам думаю поместить в него некоторые сервисы на рабочей машине, потому и спрашиваю.
Ставил все сетевые сервисы под chroot, в том числе sendmail.
При очередном эксплойте на всем извемстный BIND, не стал его апдейтить. Напрягся и начал чаще парсить логи. Через пару недель проатаковали, BIND упал без каких либо последствий.
С довольным лицом выслушал обеденные жалобы пользователей и проапдейтил BIND.
Смотря ведь для чего использовать. Если просто отградить одно окружение от другого и нет опасности что кто-то будет пытаться джеибрейкнуть - то сойдет, иначе используй виртуализацию.
Whilst chroot() is reasonably secure, a program can escape from its trap. So long as a program is run with root (ie UID 0) privilages it can be used to break out of a chroot()ed area. For a user to do this, they would need access to:
* C compiler or a Perl interpreter
* Security holes to gain root access
Ещё одна веская причина не держать демонов запущенными от рута. У меня это либо специфический демон (apache например) либо nobody.