假设你有一个chroot环境,你需要一个资源 – 一个应用程序或一个库,它驻留在主机上(在chroot外部)。
哪些是安全的影响(如果有的话)执行mount --bind (从主机到chroot)在该资源上,而不是安装在chroot – 即通过apt-get install – ?
正如我所看到的,一个目录的mount --bind和一个文件的硬链接共享相同的安全问题:chroot中的文件最终与chroot之外的文件相同 (即指向相同的inode) 。 所以,如果chroot用户在chroot里find修改这些文件的方法,他们基本上find了修改文件的方法。
这可能会也可能不是一个严重的安全问题,具体取决于您所设置的环境,但是您在做出此select时必须考虑到这一点。