0
當我在
chroot監獄中放置了一個進程後,它可以訪問libc.so位於jail之外的庫。爲什麼或者如何?chroot進程如何訪問其庫依賴關係?如果我們有一個指向jail外的文件的軟鏈接,我們可以訪問主文件嗎?
我們可以在多線程應用程序中使用
chroot嗎?或者如果我們從一個線程改變根目錄,整個過程的根目錄會改變?我讀過
chroot函數沒有提供真正的安全環境,在Linux上有沒有其他解決方案?
A
回答
1
- 只要它有它打開調用
chroot之前,它仍然有它打開,就像它自己的二進制文件。但是,chroot是特權操作,所以調用它的進程可能會改變標識並執行實際進程,除非它在chroot中可用,否則將無法訪問libc.so。 - 軟鏈接在進程的名稱空間中解析,因此它不會解析爲在
chroot之外的文件。 - 我不確定(並且會懷疑它沒有)。通常它並不重要,因爲被特權操作是在一個不是多線程的簡單包裝器中完成的,而是僅在chrooting之後啓動多線程應用程序,關閉所有文件句柄,將當前目錄切換到chroot並刪除特權。
- Chroot不安全。 Root可以很容易地逃脫(例如再次安裝設備)。有Linux-Vserver,lxc和OpenVZ,提供安全的進程隔離。 LXC使用cgroups Linux特性(自內核2.6.29開始),另外兩個似乎需要補丁內核。如果你只是需要監禁一個應用程序,你也可以自己設置cgroup。
相關問題
- 1. 如何安裝chroot依賴關係?
- 2. 訪問Jar依賴關係
- 3. 訪問組相互依賴關係odoo
- 4. rebar3:依賴關係無法訪問
- 5. Masterpass依賴關係與其他依賴關係發生衝突
- 6. 如何確定庫間依賴關係?
- 7. 如何定義庫的依賴關係
- 8. 依賴關係的nuget依賴關係
- 9. 數據庫依賴關係
- 10. CHECK_LIBRARY_EXISTS庫與依賴關係
- 11. Linux getpwnam()庫依賴關係
- 12. 靜態庫依賴關係
- 13. 靜態庫依賴關係
- 14. 類庫依賴關係
- 15. Android依賴關係與庫
- 16. JBoss - War庫依賴關係
- 17. 如何覆蓋依賴關係的依賴關係?
- 18. Three20依賴關係問題
- 19. log4net依賴關係問題
- 20. MEF依賴關係問題
- 21. Maven依賴關係問題
- 22. py2app依賴關係問題
- 23. java庫 - 刪除對依賴關係的訪問
- 24. maven程序集 - 忽略zip依賴關係的依賴關係
- 25. 如何從maven-ant-plugin訪問依賴關係?
- 26. 如何訪問PDE孵化器的依賴關係可視化
- 27. 線程依賴關係Java
- 28. 依賴關係
- 29. NetBeans中的Maven項目:如何向「依賴關係」和「測試依賴關係」添加依賴關係?
- 30. 如何跟蹤系統依賴關係?
我不確定lxc是否更安全,root仍然可以在/上掛載任何設備。 – 2011-08-24 18:26:23