Question Différence entre chroot et prison


J'ai lu ce tutoriel - https://help.ubuntu.com/community/BasicChroot - et ce que j’ai compris, c’est que chroot est le processus de changement de / tandis que le nouvel environnement restreint créé est la "prison". Mais certaines personnes disent que je me trompe et que le chroot et les prisons sont 2 choses complètement différentes.

Quelqu'un peut-il réellement m'expliquer la différence en termes simples?


10
2018-04-14 16:31


origine


Une autre option pourrait être un shell restreint au lieu de chroot. Il peut être moins sécurisé tho. - ott--


Réponses:


La peine de prison vient du monde FreeBSD et fait référence à un moyen plus strict de limiter l’accès des utilisateurs au système, bien que le chroot existe dans FreeBSD en tant que mécanisme séparé. C'est quelque chose comme (trié par le niveau de séparation):

Chroot <Virtualisation au niveau du système d'exploitation: (Jail de FreeBSD ≤ Linux OpenVZ) <Paravirtualisation: XEN


5
2018-04-14 18:53





Je dirais que "prison" est un terme général alors que "chroot" ne l’est pas. chroot n'est qu'une des nombreuses possibilités de limiter les accès à un processus. Je n'ai jamais entendu parler de "prison" dans un autre contexte. Vous pouvez utiliser AppArmor, SELinux, etc. pour obtenir des résultats similaires, mais "prison AppArmor" semble être un terme inhabituel. D'autre part, la sécurité n'est pas la seule raison d'utiliser chroot. Bien que l’effet puisse être le même, parler de «prison chroot» n’a pas de sens dans certaines situations où l’objectif n’est pas la sécurité mais une configuration spéciale pour un processus donné.


2
2018-04-14 16:40





La réponse courte est "Vous avez tous les deux raison" -

UNE chroot'ed l'environnement est souvent appelé une "prison chroot". Il restreint fondamentalement l'affichage d'un ensemble de processus, de sorte qu'ils pensent que le répertoire spécifié est la racine du système de fichiers.

Cela ne doit pas être confondu avec FreeBSD jail fonctionnalité, qui est un chroot sur les stéroïdes (avec beaucoup de fonctionnalités supplémentaires qui fournit plus d'isolation qu'un simple chroot aurait).


Par souci de clarté, il est préférable de se référer à chrootLes environnements édités comme "environnement chrooté" (ou utilisez l'expression complète "prison chroot") pour les distinguer - en particulier lorsque vous parlez d'un système FreeBSD.


1
2018-04-24 22:54





"chroot" dit "Démarrer la racine du système de fichiers ici" et a des applications au-delà d'une "prison", par exemple. accéder / réparer un système d'exploitation défectueux à partir d'un LiveCD; il se trouve que c'est aussi "le moyen de faire une prison sous Linux".


0
2018-04-15 04:41