Linux

Debian:chroot/jail 中的 ip/network 更改

  • May 24, 2011

我已經執行 Debian Squeeze 並使用 debootstrap 設置了 chroot 環境 (/jail)。

如教程中所示,我安裝了以下內容:

proc on /jail/proc type proc (rw)
devpts on /jail/dev/pts type devpts (rw)

在監獄中,我在不同的埠上執行了一個額外的 sshd 作為“父”系統。

到目前為止,一切正常且符合預期。

但我剛剛注意到,我可以從監獄中更改主機 IP 地址。這是正常行為嗎?我堅持認為,chrooted 環境不能改變“真實”系統上的東西?但是在更改IP地址並執行後

/etc/init.d/networking restart

系統只能通過新的 IP 地址訪問。

請有人解釋一下,為什麼會這樣?有沒有辦法防止這種情況?讓監獄裡的一切,“留在監獄裡”

非常感謝您提前。

卡斯帕

chroots 僅為 chroot-ing 命令的子程序更改文件系統的可見根。其他一切——發送信號、操縱核心等——不受影響。如果它是您唯一的安全措施,那麼再次離開 chroot 非常簡單。

查看LXCLinux-VServerOpenVZ以了解 Linux 中的適當容器,它們不僅可以防止意外的目錄遍歷。

引用自:https://serverfault.com/questions/273244