J'entends parler de devoir chrooter BIND tout le temps. C'est suffisant. Mais qu'en est-il des autres programmes? Quelles sont les "règles" (personnelles ou largement acceptées / établies) pour décider quels programmes doivent être emprisonnés?
-M
En général, vous souhaiterez peut-être utiliser chroot pour plusieurs raisons:
Lorsque la réponse n'est pas «pour des raisons de sécurité». Voir Abus de chroot .
Quand il a été suggéré que chroot est fréquemment utilisé comme outil de sécurité, Adrian Bunk a répliqué, "les personnes incompétentes mettant en œuvre des solutions de sécurité sont un vrai problème." Alan a ajouté: "chroot n'est pas et n'a jamais été un outil de sécurité. Les gens ont construit des choses basées sur les propriétés de chroot mais étendues (prisons BSD, vserver Linux) mais elles sont très différentes."
Si vous avez un programme qui nécessite un ensemble / des versions de bibliothèques différent de ce qui est installé sur votre système, ce serait un bon candidat pour une installation "chrootée".
chroot est également pratique pour installer différentes versions de la distribution Linux dans leur propre environnement, sans utiliser de machine virtuelle ou d'émulateur ( Configurer un chroot Debian sous Red Hat ).
la source
Tout dépend de la façon dont vous êtes paranoïaque. Dans la plupart des cas, chaque service doit être chrooté pour des raisons de sécurité. Cependant, il peut ne pas être possible de le faire pour tout, car cela peut être un peu fastidieux d'essayer de tout reproduire. Une autre possibilité à envisager à des fins d'isolement est l'utilisation de machines virtuelles légères comme OpenVZ / VServer, qui sont essentiellement comme chroot, mais plus encore.
la source