Im Allgemeinen möchten Sie chroot aus mehreren Gründen verwenden:
- Benötigen Sie eine andere Distribution / Architektur / Distribution-Version, ohne OpenVZ oder eine virtuelle Maschine verwenden zu wollen. Zum Beispiel verwende ich chroots, um sowohl i386- als auch amd64-Kompilierungsumgebungen auf einem amd64-Computer zu haben.
- Beschränken des Zugriffs auf das System auf Benutzer. Beispielsweise können Sie chroot zusammen mit scponly verwenden, um die Befehle einzuschränken, auf die Benutzer Zugriff haben. Dies ist ein sehr begrenztes Gefängnissystem, da sie beispielsweise immer noch Zugriff auf das Netzwerk haben.
- Beschränken des Zugriffs auf das System auf Programme. Im Allgemeinen möchten Sie dies möglicherweise hauptsächlich für Dämonen wie Binden oder Apache tun. Auf diese Weise haben diese Programme keinen direkten Zugriff auf das System. Wenn ein Angreifer also eine Sicherheitsverletzung des Programms ausnutzen könnte, würde er nicht direkt auf das System zugreifen, sondern sich in der Chroot befinden. Dies trägt zur Verbesserung der Sicherheit bei, ist jedoch keine Garantie für die Sicherheit Ihres Systems.
Wenn Sie ein Programm haben, für das eine Reihe / Versionen von Bibliotheken erforderlich sind, die sich von den auf Ihrem System installierten unterscheiden, ist dies ein guter Kandidat für eine "chrooted" -Installation.
chroot ist auch praktisch, um verschiedene Versionen der Linux-Distribution in der eigenen Umgebung zu installieren, ohne eine VM oder einen Emulator zu verwenden ( Einrichten einer Debian-chroot unter Red Hat ).
quelle
Es hängt alles davon ab, wie paranoid du bist. In den meisten Fällen sollte jeder Dienst aus Sicherheitsgründen chrooted werden. Es ist jedoch möglicherweise nicht möglich, dies für alles zu tun, da es etwas mühsam werden kann, alles zu replizieren. Eine andere Möglichkeit, die für Isolationszwecke in Betracht gezogen werden sollte, ist die Verwendung von leichten virtuellen Maschinen wie OpenVZ / VServer, die im Wesentlichen nur chroot ähneln.
quelle