chroot Umgebung sicher?

T

thewilli

New Member
Hi,

bisher bin ich immer davon ausgegangen, dass eine chroot Umgebung dem BSD "Jail" doch zumindest sehr nahe kommt. Auf Wikipedia habe ich nun aber gelesen, dass ohne weiteres ausgestiegen kann.

Stimmt das? Kann ich die chroot Umgebung trotzdem absichern oder gibt es eine alternative Jail Implementierung für Linux?
 
thewilli said:
Stimmt das? Kann ich die chroot Umgebung trotzdem absichern oder gibt es eine alternative Jail Implementierung für Linux?
Click to expand...
Ja das stimmt. Lies doch einfach mal die Manpage zu chroot(2). Darin steht direkt eine Möglichkeit beschrieben, aus der chroot-Umgebung auszubrechen.

Diverse Kernelpatches wie grsecurity oder RSBAC härten das chroot-Konzept bzw. bieten einen (Free)BSD Jails-ähnlichen Mechanismus an (rsbac_jail). Wenn du tatsächlich etwas wie die (Free)BSD Jails haben möchtest, informiere dich über Linux-vserver oder OpenVZ. Diese kommen den Jails am nächsten.
 
Also chrooting hat mit den FreeBSD-Jails nicht mal annähernd was zu tun.

Virtualisierung, wie Roger schon gesagt hat, kommt dem schon näher, wobei bei FreeBSD Jails natürlich nicht wirklich virtualisiert wird.

Chrooting bedeutet ja lediglich das Root-Verzeichnis für den jeweiligen Prozess um ein paar Ebenen höher zu legen. FreeBSD-Jails sind hingegen isolierte Betriebssystemumgebungen, in denen Benutzer komplett eingesperrt sind, einer eigenen Rechteverwaltung unterliegen etc. Jails sind daher eher als Vorstufe zur Virtualisierung zu betrachten.
 
Ben. said:
Virtualisierung, wie Roger schon gesagt hat, kommt dem schon näher, wobei bei FreeBSD Jails natürlich nicht wirklich virtualisiert wird.
Click to expand...
Die FreeBSD Jails sind eine Virtualisierung auf Betriebssystemebene, eben wie OpenVZ oder Linux-Vserver. ;)
 
Keine Ahnung wie openVZ virtualisiert, es werden aber bei FreeBSD-Jails keine Hardwarekomponenten virtualisiert, was ich eigentlich meinte.

Immer diese Korintenkacker ;) Je nachdem wie du Virtualisierung definierst, ist selbst eine Chroot-Umgebung virtuell :p
 
Ben. said:
Keine Ahnung wie openVZ virtualisiert, es werden aber bei FreeBSD-Jails keine Hardwarekomponenten virtualisiert, was ich eigentlich meinte.
Click to expand...
Deswegen ja auch OS-level virtualiziation.

Ben. said:
Immer diese Korintenkacker ;)
Click to expand...
Soso, die Entwickler von FreeBSD und Autoren der Manpage und des Handbuchs sind also Korinthenkacker. Dann bin ich ja in guter Gesellschaft. :D
 
You must log in or register to reply here.
Back
Top