Chroot, jail

Опубликовано в Концепция изоляции

Под chroot в UNIX-подобных операционных системах подразумевается техника, позволяющая создать изолированную среду – имитацию корневого каталога файловой системы.

Запущенная в такой среде любая программа будет воспринимать только указанный рабочий каталог – и «ни шагу влево», chroot затрагивает только текущий процесс и всех его потомков. Программа в такой изолированной среде не может обращаться к файлам вне этого каталога, что обеспечивает надежный способ защиты в случае компрометации программы в chroot.

К слову будет сказано, chroot-каталог может быть использован, чтобы сымитировать реальную систему с запущенными сетевыми сервисами. Такой искусственно созданный механизм безопасности может быть использован как «наживка» для взломщиков, или honeypot.

Концепция изоляции, Chroot, jail

Jail, или «тюрьма», – механизм изолирования выполнения процессов в операционных системах UNIX. Системный вызов jail заключает процесс и всех его потомков в изолированную среду выполнения. Процесс, выполняющийся в jail, не имеет возможности получить доступ к тому, что не принадлежит jail. Более того, даже суперпользователь – root – не в состоянии выполнить большинство операций, которые он может выполнять снаружи от jail.

Если chroot и Jail – это инструменты безопасности, обсуждаемые в контексте UNIX- систем, то о следующем инструменте безопасности так сказать нельзя.