Features/ChrootedServices

Материал из ALT Linux Wiki

chroot

В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами, поскольку root в chroot — вовсе не гарантия, что он оттуда не выберется. Даже libresolv выполняется в chroot. Это может быть неудобным в том плане, что пути сдвигаются. Например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в «песочнице», как то перловых к Postgres или авторизационных к Postfix. Но обратная сторона медали в том, что если один из таких сервисов окажется взломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.

При этом пакет chrooted обеспечивает использование жёстких ссылок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и «песочница» находятся в пределах одной файловой системы; впрочем, жёсткие ссылки менее безопасны, чем физические копии.

Некоторые варианты использования update_chrooted:

update_chrooted conf
update_chrooted all

Следует отметить такие неочевидности:

  • после изменения /etc/resolv.conf или /etc/hosts необходимо выполнить команду update_chrooted conf (также отрабатывается при загрузке), чтобы обновить копии этих файлов в «песочницах»; без этого возможны проблемы вида «ping не работает»
  • монтирование /var с noexec также может привести к проблемам с работой chrooted-сервисов

Ссылки