MACTEP
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
2 dvk54:
Цитата:| Но, чем-то задним чувствую - есть более элегантный метод. |
Вспомнился старый добрый анекдот - "что-то меня последнее время Гондурас беспокоит...".
Смысл chroot для меня всегда был в изоляции условно опасного приложения от собственно системы. Он заключается в создании отдельной стандартной структуры каталогов (/etc, /usr, /lib, /bin...), куда раскладываются вручную бинарник, который нужно изолировать от системы, либы, которые он динамически линкует, конечно же конфиги. Во фре есть утилиты типа ldd, чтобы определить нужные библиотеки. Обычно еще и трейсится запуск бинарника до форка, чтобы убедиться, что все на месте и нет ошибок. Это подходит для какого-нибудь веб-проекта с говно-разрабами и их скриптами, дырявыми, как дуршлаг моей покойной бабушки... В указанном варианте не вижу применения для chroot. Далее есть jail. Там все круче, практически система в системе, но всегда были проблемы с разделением ресурсов. Правда много лет уже не использую ни то и ни другое, так как виртуализация позволяет возложить задачи изоляции и распределения ресурсов на гипервизор, а мощные средства бэкапа виртуальных инфраструктур - наплевать на уязвимости, создаваемые вышеупомянутыми рукожопыми разрабами... И сама идеология ваша мне не нравится, честно говоря. Начальные условия - "админ уже ручками подключает шифрованный том". Усеры смогут благополучно скомпрометировать данные, которые там будут, работая с уже расшифрованным томом. Человеческий фактор обычно убивает все мегасекьюрные решения. Как-то так...
|
