Pourquoi l'appel système chroot n'est-il pas disponible pour les utilisateurs non root?

8

Je lisais la description de setuid sur wikipedia http://en.wikipedia.org/wiki/Setuid

Je n'ai pas pu comprendre comment chroot est lié à setuid comme mentionné dans le paragraphe suivant de wikipedia

La présence d'exécutables setuid explique pourquoi l'appel système chroot n'est pas disponible pour les utilisateurs non root sur Unix. Voir les limitations de chroot pour plus de détails.

Mr Coder
la source

Réponses:

11

Si un utilisateur non privilégié pouvait exécuter un programme setuid dans une chrootprison, il pouvait soigneusement construire cette prison pour inciter le programme à augmenter ses privilèges. Par exemple, je peux construire une chrootprison dans laquelle je suis autorisé à utiliser sudo, car je peux contrôler chaque fichier de configuration à l'intérieur de cette prison.

David Schwartz
la source
Je pense toujours totalement que l'expression sur la page wikipedia pourrait être réécrite pour réellement exprimer cela.
Florin Asăvoaie
La section limitations de l'article sur chroot va plus en détail, comme le dit l'extrait.
David Schwartz
8
@FlorinAsavoaie: La bonne chose sur wikipedia est que si vous pensez "ça pourrait être écrit ceci et cela", vous avez le droit de le faire :)
phresnel