我已经Debian挤压运行和设置一个chootot环境(/监狱)debootstrap。
正如在教程中看到的,我安装了以下内容:
proc on /jail/proc type proc (rw) devpts on /jail/dev/pts type devpts (rw) 在监狱里,我在不同的端口上运行了一个额外的sshd作为“父”系统。
到目前为止,所有的工作都很好,正如预期的那样
但是我只注意到,我能够从jail中更改主机IP地址。 这是一个正常的行为? 我想,根本的环境不能改变“真实”系统的东西吗? 但更改后的IP地址和运行
/etc/init.d/networking restart
系统只能通过新的IP地址到达。
请有人可以解释,为什么这样的行为呢? 有没有办法来防止这一点? 所以监狱里的一切都“留在监狱里”
非常感谢你提前。
卡斯帕
chroot只能更改chroot-ing命令的subprocess的文件系统的可见根。 其他的一切 – 发送信号,操纵内核等等,都不受影响。 如果这是你所拥有的唯一的安全措施,那么再次离开chroot就相当简单了。
看看LXC , Linux-VServer或OpenVZ在Linux中适当的容器,它可以防止意外的目录遍历。