chrootが安全でないと見なされるのはなぜですか?

13

私はここ数年、CentOSボックスで遊んでいます。だから私は端末にかなり満足しています。しかし、chrootは安全ではないと主張し、それらの投稿の量が怖いという多くのブログ投稿を読みました。本当にそうですか?どうして?

chrootを使用して、シェルまたはコマンドをまったく使用せずに、特定のコンテキストでSFTPのみのユーザーをロックダウンします。それで、本当に、それに関するセキュリティ問題は何ですか?

質問はStackOverflowから追放されます。

linux  centos  security  chroot 
アレクサンドル・マコフ
ソース
1
最初:質問はStack Overflowでクローズ/移行されていませんが、明らかにOTです。適切なアクションは、別のサイトにクロスポストするのではなく、移行されるまで待つか、フラグを立ててそれを行うようにmodに依頼することです。しかし、2つ目は、「CentOSをいじくり回す」のであれば、ここも間違っています。このサイトはプロのシステム管理者向けであり、愛好家向けではありません-FAQをご覧ください。
スヴェン
1
@SvenWありがとう、未来へのヒントを心に留めておきます。また、「2番目」については、申し訳ありませんが、私の質問がFAQにどのように違反しているかはわかりません。今二度読んだ後、そうではないと言うことができます。「CentOSで遊ぶ」というフレーズのように、chrootとSFTPのみのユーザーであり、セキュリティについて考慮されていることは、専門家が企業やその他の分野で利益を得ることができる非常に深刻なトピックであることは明らかだと思いました」プロフェッショナル」環境。
アレクサンドルマコフ
1
@sven知らなかった場合、SFはSOの移行リストから削除されました。これは、送信された悪い質問の数が多いためです。
MDマーラ

回答:

10

ほとんどの場合、ルートプロセスはchrootを簡単に終了できるからです。chrootはセキュリティデバイスとして意図されていなかったため、これは仕様です。

Alan Coxは、この動作を「修正」するためにカーネルパッチを提出した開発者やや有名に非難しました。chrootはセキュリティデバイスとして悪用されたが、決して意図されたものではなかったと主張しています。

MDMarra
ソース
パーフェクト!どうもありがとうございました。これは、ルートに存在するか、ルートからアクセス可能なルートプロセスの問題です。ありがとう。
アレクサンドルマコフ
Linux 4.18でrootとしてunixwiz.net/techtips/mirror/chroot-break.htmlに示されているCプログラムを実行することで、chrootをエスケープできることを確認しました。
pts
そのため、ルート権限を渡さないでください。通常の「安全な」システムでさえ、rootアカウントを持っています。
シーズティマーマン
6

安全でないと考えられる理由の少なくとも1つの例を知っています。chroot環境/procは分離されていないため、chrootで開始されたプロセスが所有していないリソースに簡単にアクセスできます。

SFTPにchrooted環境を使用することは問題なく、セキュリティレベルを大幅に向上させます。コンテナベースの仮想化として悪用しないでください。これにより、より高いレベルのセキュリティが提供されます。この中で、@ MDMarraの答えに何があるかを強調します。

ガートダイク
ソース
ありがとうございました。したがって、chroot自体はセキュリティに劣っていないことが明らかになりましたが、セキュリティはセットアップされた環境に依存します。
アレクサンドルマコフ
実際、chrootはセキュリティデバイスとしての使用を意図したものではないため、セキュリティに劣りません。これは、同じバイナリの複数のバージョンを異なる依存関係で並べて実行するための開発ツールであることを意味していました。サービスを適切に保護するための代替ではありませんが、それが何であり、何でないかを理解している限り、特定の状況で役立ちます。
MDマーラ
MDMarra、つまり基本的に、chrootはSSH接続のキャプチャに使用することを意図したものではありません。それから、あなたの意見では、「着信SSH接続をchrootする」ことはあなたにとっていくらか専門的ではないように聞こえますか、それは避けるべきですか?
アレクサンドルマコフ
いいえ、必ずしもではありませんが、特権の昇格につながる可能性のある悪用や、chrootでrootとして実行されるプロセスは簡単に抜け出すことができることを理解してください。確かにパズルのピースになることもありますが、全部ではありません。
MDMarra
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.