chrootを使用するのが適切/賢明なのはいつですか？

いつもBINDをchrootする必要があると聞きました。けっこうだ。しかし、他のプログラムはどうですか？投獄すべきプログラムを決定するための「ルール」（個人的または広く受け入れられている/確立されているもの）は何ですか？

-M

一般に、いくつかの理由でchrootを使用したい場合があります。

• OpenVZや仮想マシンを使用したくない、別のディストリビューション/アーキテクチャ/ディストリビューションバージョンが必要。たとえば、amd64マシンにchrootを使用して、i386とamd64の両方のコンパイル環境を用意しています。
• システムへのアクセスをユーザーに制限します。たとえば、chrootと一緒にchrootを使用して、ユーザーがアクセスできるコマンドを制限できます。彼らはまだ例えばネットワークにアクセスできるので、これは非常に限られた刑務所システムです。
• システムへのアクセスをプログラムに制限する。一般的に、bindやapacheなどのほとんどのデーモンに対してそれを実行することができます。このように、これらのプログラムはシステムに直接アクセスできないため、攻撃者がプログラムのセキュリティ侵害を利用できる場合、システムに直接アクセスするのではなく、chroot内に侵入します。これはセキュリティの強化に役立ちますが、システムの安全性を保証するものではありません。

答えが「セキュリティ目的」ではない場合。chrootの悪用を参照してください。

chrootがセキュリティツールとして頻繁に使用されることが示唆されたとき、Adrian Bunkは「セキュリティソリューションを実装する無能な人々は本当の問題です」と言い返しました。アラン氏はまた、「chrootはセキュリティツールではありませんでした。これまでもセキュリティツールではありませんでした。chrootのプロパティに基づいてビルドされていますが、拡張されています（BSD jail、Linux vserver）。ただし、まったく異なります。」

システムにインストールされているライブラリとは異なるライブラリのセット/バージョンを必要とするプログラムがある場合は、「chrootされた」インストールの候補として最適です。

chrootは、VMやエミュレーターを使用せずに、独自の環境内に異なるバージョンのLinuxディストリビューションをインストールする場合にも便利です（Red HatでのDebian chrootのセットアップ）。

それはすべてあなたがどれだけ妄想的であるかに依存します。ほとんどの目的と目的で、セキュリティ上の理由から各サービスをchrootする必要があります。ただし、すべてを複製しようとすると少々面倒になる可能性があるため、これをすべてに対して行うのは現実的ではありません。分離の目的で検討するもう1つの可能性は、OpenVZ / VServerのような軽量の仮想マシンを使用することです。