chroot

chroot(ang.change root) –uniksowepolecenie uruchamiające program ze zmienionymkatalogiem głównym(root). W zmienionym środowisku będą działać teżprocesypotomne. Wsystemie GNUten program obecny jest w pakiecieGNU Coreutils.

Zmianakatalogugłównego może być przydatna podczas uruchamiania niepewnych programów, gdyż nie mają one wtedy dostępu do katalogu nadrzędnego względem nowego katalogu głównego.

W praktyce uruchamianie programów w zmienionym środowisku jest utrudnione, jeżeli programy wymagająbibliotek,plików dzielonych itp. Wtedy nowe środowisko musi zostać wyposażone w wymagane pliki.

Przykładowe zastosowania

Separacja uprawnień: chrootmoże być użyty jako narzędzie do ochrony przed atakami. Np.serwer plikówmoże zmienić swój katalog główny zaraz po rozpoczęciu komunikacji z klientem. Podobne rozwiązanie istnieje w agencie transferu pocztyPostfix,który dzieli dane na mniejsze części, z których każda jest przetwarzana za pomocą oddzielnego chrootowanego programu.

Honeypotting: Można użyć środowiska chrootowanego do obrony przed atakami, gdyż intruz będzie mógł niszczyć tylko wydzielony fragment systemu.

Testowanie: chrootjest przydatny także podczas testowania, gdyż powstałe w wyniku niewłaściwej pracy programu szkody nie dotyczą systemu głównego.

Izolacja: środowisko chrootowane jest efektywną metodą izolacji rozwijanego programu, mającej na celu użycie specyficznego zestawu bibliotek oraz ograniczyć ilość zależności programu. Programista może mieć zainstalowane biblioteki wykorzystywane do czynności codziennych np. do przeglądania stron internetowych, natomiast te biblioteki nie mają być dostępne w środowisku docelowym. Poprzez użyciechrootmoże on wykorzystać automatyczne metodykonsolidacjikontrolując jednocześnie biblioteki dołączane do programu.

chrootjest także używany przez użytkownikówLinuksapracujących na procesorachAMD64,podczas uruchamiania aplikacji 32 bitowych.

Wady i ograniczenia

Tylko superużytkownikrootmoże wywołać poleceniechroot.Z powodu zagrożenia przejęcia kontroli nad systemem przez użytkowników (np. poprzez używanie spreparowanego pliku/etc/fstab)chrootnie zawsze jest bezpieczny.

Program działający na prawach superużytkownika (root) zawsze może wrócić do poprzedniego katalogu głównego. Z tego powodu, chroot nie nadaje się do ograniczania roota - zamiast niego trzeba użyć np. Jaili weFreeBSD.

chrootnie ogranicza działalności chrootowanych programów poprzez redukcję ilości operacji wejścia/wyjścia lub tym podobnych.

Przykład

root@box:~# chroot /mnt/gentoo/ /bin/bash
box / #

Linki zewnętrzne

chroot(1)–strona podręcznikasystemuLinux

System plików	cat chmod chown chgrp cksum cp dd du df file fsck fuser ln ls mkdir mount mv pwd rm rmdir split tee touch tree type umask
Procesy	at chroot cron fg kill killall nice ps time top
Środowisko użytkownika	clear env finger history logname mesg passwd sudo talk uname uptime w wall who whoami write
Przetwarzanie tekstu	awk banner basename cut diff dirname ed ex head iconv less more paste printf sed sort strings tail tr uniq vi wc xargs yes
Wbudowane w powłokę	alias cd echo test unset
Komunikacja	ifconfig inetd netcat netstat nslookup ping rlogin route ssh traceroute
Wyszukiwanie	find grep whereis
Dokumentacja	man
Różne	bc dc cal expr false lp od sleep true