Linux
Debian:chroot/jail 中的 ip/network 更改
我已經執行 Debian Squeeze 並使用 debootstrap 設置了 chroot 環境 (/jail)。
如教程中所示,我安裝了以下內容:
proc on /jail/proc type proc (rw) devpts on /jail/dev/pts type devpts (rw)
在監獄中,我在不同的埠上執行了一個額外的 sshd 作為“父”系統。
到目前為止,一切正常且符合預期。
但我剛剛注意到,我可以從監獄中更改主機 IP 地址。這是正常行為嗎?我堅持認為,chrooted 環境不能改變“真實”系統上的東西?但是在更改IP地址並執行後
/etc/init.d/networking restart
系統只能通過新的 IP 地址訪問。
請有人解釋一下,為什麼會這樣?有沒有辦法防止這種情況?讓監獄裡的一切,“留在監獄裡”
非常感謝您提前。
卡斯帕
chroots 僅為 chroot-ing 命令的子程序更改文件系統的可見根。其他一切——發送信號、操縱核心等——不受影響。如果它是您唯一的安全措施,那麼再次離開 chroot 非常簡單。
查看LXC、Linux-VServer或OpenVZ以了解 Linux 中的適當容器,它們不僅可以防止意外的目錄遍歷。