我已经玩了几年CentOS盒子了。 所以我对terminal很舒服。 不过,我读了很多博客文章,声称chroot不安全,这些post的数量让人害怕。 这是真的吗? 为什么?
我使用chroot在特定的上下文中locking仅限SFTP的用户,而没有任何shell或命令。 那么真的,这有什么安全问题呢?
问题是从StackOverflowstream放。
因为在大多数情况下,root进程可以轻松地退出chroot。 这是由devise决定的,因为chroot从来没有作为安全设备。
艾伦·考克斯(Alan Cox)有点着名地指责开发者提交了一个内核补丁来“修复”这种行为,声称chroot已经被滥用作为安全设备,但从来没有打算成为一个安全设备。
我至less知道一个为什么它被认为是不安全的例子。 chroot环境/proc不是孤立的,因此访问非chroot中启动的进程拥有的资源相当容易。
对于SFTP使用chrooted环境很好,大大提高了安全级别。 只是不要滥用它作为基于容器的虚拟化,它提供了更多的安全级别。 在这里,我强调@ MDMarra的答案。