Chroot
Author
Albert Floreschroot je v informatice název pro unixové systémové volání (a též příkaz), které slouží ke změně kořenového adresáře pro daný proces a jeho potomky vzniklé voláním fork. Chroot nebyl původně navržen jako bezpečnostní prvek, a proto je nutné ho pokládat spíše za ochranu před nechtěnými omyly. Bezpečnější uzamčení programu zajišťuje sandbox.
Bezpečnost použití
Při používání chrootu je nutné dbát zvýšené opatrnosti. Změna kořenového adresáře může být provedena pouze uživatelem root, což je nutné například kvůli bezpečnostnímu riziku, kdy by běžný uživatel systému mohl například „podstrčit“ v chrootu nově vytvořený soubor /etc/passwd. +more Program poté nový kořenový adresář již nemůže běžným způsobem změnit na nadřízený adresář nebo operaci odvolat. Problémem je však oprávnění správce, které umožňuje zbavit se chroot prostředí jinými způsoby. Program se sice může oprávnění správce zbavit, avšak kvůli chybě v programu uvnitř chroot nebo chybě v jádře systému je může opět získat. Proto není možné chroot považovat za bezpečnostní opatření (jak se však často chybně děje), nýbrž spíše za ochranu před rutinními chybami (například omylem provedené smazání souboru). Proto se chroot využívá např. při testování programů, které by mohly dělat nežádoucí změny v souborovém systému, při vytváření Live CD, opravě poškozeného systému, instalaci systému nebo při sledování prvních kroků potenciálních útočníků.
Příklady použití
V současnosti je mnoho [url= Server|Apache][Démon (software)|démonů]] poskytujících služby mimo počítač (do počítačové sítě) uzavřena do tzv. chroot jail (změna kořenového adresáře pomocí systémového volání chroot). +more Implementováno je například pro webové servery ([[Apache[/url]], Lighttpd), FTP servery (FTPD, vsftpd), databázové servery (MySQL, PostgreSQL), DNS servery (BIND).
Protože některé operace (např. otevření síťového portu) vyžadují administrátorská oprávnění (v unixových systémech uživatel root), je typicky nejprve provedena tato operace a následně se program uzamkne do chroot jailu a zbaví se administrátorských oprávnění. +more To však způsobí například nepřístupnost konfiguračních souborů (v unixových systémech typicky v adresáři /etc), speciálních zařízení (/dev) nebo knihoven, které je pak nutné do chrootu nakopírovat.
Reference
Externí odkazy
http://www. abclinuxu. +morecz/clanky/show/51214 - článek o chroot na [url=://wiki. ubuntu. cz/Vytvoření_vlastního_LiveCD - chroot použit jako klíčový krok v návodu na vytvoření upraveného [[LiveCD|bootovacího CD]url=://web. archive. org/web/20070820032941/http://unixhelp. ed. ac. uk/CGI/man-cgi. chroot - manuálová stránka chroot *[/url]url=://linux. die. net/man/2/chroot - dokumentace k systémovému volání chroot.
[[Kategorie:Standardní unixové příkazy][AbcLinuxu.cz]] *[/url]] Ubuntu *[/url]] Kategorie:Virtualizační software