Назад | Перейти на главную страницу

Влияние mount --bind на безопасность в среде chroot

Предположим, у вас есть chroot среда, в которой вам нужен ресурс - приложение или библиотека - который находится на хосте (внешнем по отношению к chroot).

Какие последствия для безопасности (если таковые имеются) при выполнении mount --bind (от хоста к chroot) на этом ресурсе, а не устанавливать его на chroot, то есть через apt-get install -?

Как я вижу, это mount --bind каталога и жесткой ссылки на файл разделяют ту же проблему безопасности: файлы в chroot в конечном итоге оказываются тот же самый (то есть указывающий на тот же индексный дескриптор), чем файлы вне chroot. Поэтому, если пользователь chroot находит способ изменить эти файлы внутри chroot, он, по сути, нашел способ изменить ваш файлы.

Это может быть или не быть серьезной проблемой безопасности в зависимости от настраиваемой среды, но вы должны принять это во внимание, делая этот выбор.