chroot
Z Wikipedii
chroot (ang. change root) - uniksowe polecenie uruchamiające program ze zmienionym katalogiem głównym (root). W zmienionym środowisku będą działać też procesy potomne. W systemie GNU ten program obecny jest w pakiecie GNU Coreutils.
Zmiana katalogu głównego może być przydatna podczas uruchamiania niepewnych programów, gdyż nie mają one wtedy dostępu do katalogu nadrzędnego względem nowego katalogu głównego.
W praktyce uruchamianie programów w zmienionym środowisku jest utrudnione, jeżeli programy wymagają bibliotek, plików dzielonych itp. Wtedy nowe środowisko musi zostać wyposażone w wymagane pliki.
Spis treści |
[edytuj] Przykładowe zastosowania
- Separacja uprawnień
- chroot może być użyty jako narzędzie do ochrony przed atakami. Np. serwer plików może zmienić swój katalog główny zaraz po rozpoczęciu komunikacji z klientem. Podobne rozwiązanie istnieje w agencie transferu poczty Postfix, który dzieli dane na mniejsze części, z których każda jest przetwarzana za pomocą oddzielnego chrootowanego programu.
- Honeypotting
- Można użyć środowiska chrootowanego do obrony przed atakami, gdyż intruz będzie mógł niszczyć tylko wydzielony fragment systemu.
- Testowanie
- chroot jest przydatny także podczas testowania, gdyż powstałe w wyniku niewłaściwej pracy programu szkody nie dotyczą systemu głównego.
- Izolacja
- środowisko chrootowane jest efektywną metodą izolacji rozwijanego programu, mającej na celu użycie specyficznego zestawu bibliotek oraz ograniczyć ilość zależności programu. Programista może mieć zainstalowane biblioteki wykorzystywane do czynności codziennych np. do przeglądania stron internetowych, natomiast te biblioteki nie mają być dostępne w środowisku docelowym. Poprzez użycie chroot może on wykorzystać automatyczne metody konsolidacji kontrolując jednocześnie biblioteki dołączane do programu.
chroot jest także używany przez użytkowników Linuksa pracujących na procesorach AMD64, podczas uruchamiania aplikacji 32 bitowych.
[edytuj] Wady i ograniczenia
Tylko superużytkownik root może wywołać polecenie chroot. Z powodu zagrożenia przejęcia kontroli nad systemem przez użytkowników (np. poprzez używanie spreparowanego pliku /etc/fstab) chroot nie zawsze jest bezpieczny. Na niektórych systemach oprogramowanie uruchomione w chrootowanym środowisku może powrócić do poprzedniego katalogu głównego, jeżeli tylko ma prawa roota.
Większość Uniksów nie jest w pełni oparta na plikach, co zezwala chrootowanym programom na potencjalnie niebezpieczne użycie funkcji systemowych.
chroot nie ogranicza działalności chrootowanych programów poprzez redukcję ilości operacji wejścia/wyjścia lub tym podobnych.
[edytuj] Przykład
root@box:~# chroot /mnt/gentoo/ /bin/bash box / #
[edytuj] Zobacz też
[edytuj] Linki zewnętrzne
- – Strona podręcznika dyskowego systemu Linux w serwisie usr-share-man.org
| Zarządzanie plikami i systemem plików: | cat • cd • chattr • chmod • chown • chgrp • cp • du • df • file • fsck • ln • ls • lsof • mkdir • more • mount • mv • pwd • rcp • rm • rmdir • split • touch • tree | ||
| Zarządzanie procesami | anacron • at • chroot • cron • crontab • htop • kill • killall • nice • ps • sleep • screen • time • timex • top • renice • wait • watch | ||
| Zarządzanie użytkownikami/systemem | env • finger • id • locale • mesg • passwd • su • sudo • uname • uptime • w • wall • who • write | ||
| Przetwarzanie tekstu | awk • cut • diff • ex • head • iconv • join • less • more • nkf • paste • sed • sort • tail • tr • uniq • wc • xargs • perl | ||
| Programowanie shellowe | echo • expr • unset | Drukowanie | lp |
| Komunikacja inetd • netstat • ping • rlogin • traceroute |
Wyszukiwanie find • grep • strings • whereis |
Różne banner • bc • cal • man • yes |
|
