trenger litt info om chroot

[chrishan]

kan noen være så snill og forklare meg chroot i forholdsvis enkle termer?? ja, jeg har lest man-siden og googlet en del, men har ikke blitt så mye klokere. det står at den skifter root directory for en prosess, men jeg skjønner ikke helt prinsippet ennå.

 

det jeg vil oppnå, er å hindre andre brukere enn meg å kjøre en del programmer på en ubuntu-maskin. ble da fortalt at jeg kunne bruke chroot, og har forsøkt å sette meg inn i virkemåten. kan noen forklare meg hvordan dette virker, og hvordan jeg kan oppnå at kun jeg kan kjøre noen utvalgte programmer som er installert på maskinen?

[Manuel]

Den synlige effekten av å "chroote" en katalog, er at du vil få den katalogen som root ( / -- ikke brukeren).

 

La oss si at du har en katalog /usr/local/jail. /usr/local/jail inneholder katalogene foo og bar. Det vil si at den fulle banen til katalogene er /usr/local/jail/foo og /usr/local/jail/bar. Etter at du har kjørt chroot /usr/local/jail, så vil ditt "nye system" kun "inneholde" /foo og /bar. Du har med andre ord skiftet rotkatalog.

 

Merk at hvis du ønsker å bruke et shell, mens du er i et chroot-jail, så må (i dette eksempelet) /usr/local/jail inneholde shellet, samt alle filer (og biblioteksfiler) som shellet trenger. Det som er interessant her, er at prosesser som er i et chroot-jail, vil ikke "se" at roten egentlig er /usr/local/jail. chroot fungerer derfor ypperlig til å f.eks holde 32-bits binærfiler og 32-bits biblioteksfiler i et eget filsystem, uten at du er nødt til å endre på /etc/ld.so.conf og tøyse rundt for å få dynamisk linkede programmer til å bruke riktige biblioteksfiler.

 

Merk at chroot egentlig aldri var ment som et sikkerhetsverktøy. Det fungerer greit, men som eneste sikkerhetstiltak er det utilstrekkelig. Du bør derfor forholde deg til programmer i chroot-jail slik du ville gjort utenfor chroot: Sørge for at prosesser ikke kan få root-rettigheter (und so weiter).