चिरोट को असुरक्षित क्यों माना जाता है?


12

मैं अब कुछ वर्षों के लिए CentOS बॉक्स के साथ खेल रहा हूँ। इसलिए मैं टर्मिनल के साथ बहुत कम्फर्टेबल हूं। हालाँकि, मैंने बहुत से ब्लॉग-पोस्ट पढ़ते हुए दावा किया कि चुरोट असुरक्षित है और उन पोस्टों की मात्रा से डर लगता है। क्या सच में ऐसा है? क्यों?

मैं विशेष संदर्भ में SFTP- केवल उपयोगकर्ताओं को लॉक करने के लिए चेरोट का उपयोग करता हूं, बिना किसी शेल या कमांड के बिल्कुल भी। तो वास्तव में, उस के साथ सुरक्षा समस्या क्या है?

StackOverflow से प्रश्न निर्वासित किया जाता है ।


1
पहला: स्टैक ओवरफ्लो पर सवाल बंद / माइग्रेट नहीं किया गया है , लेकिन यह स्पष्ट रूप से ओटी है। उपयुक्त कार्रवाई तब तक इंतजार करना होगा जब तक कि यह माइग्रेट नहीं हो जाता है या इसे ध्वजांकित नहीं करता है और इसे करने के लिए एक मॉड पूछता है, इसे किसी अन्य साइट पर क्रॉस-पोस्ट नहीं करता है। लेकिन दूसरा: यदि आप "सेंटोस के साथ खेलते हैं", तो आप यहां भी गलत हैं। यह साइट पेशेवर प्रणाली प्रशासकों के लिए है, न कि शौकीनों के लिए - कृपया हमारे FAQ देखें ।
स्वेन

2
@ SvenW धन्यवाद, मैं भविष्य के लिए आपकी टिप को ध्यान में रखूंगा। और 'दूसरी' के बारे में, ठीक है, क्षमा करें, लेकिन मैं यह नहीं देखता कि मेरा प्रश्न एफएक्यू का उल्लंघन कैसे करता है। अब इसे दो बार पढ़ने के बाद, मैं कह सकता हूं कि यह नहीं है। जैसा कि वाक्यांश "सेंटोस के साथ खेलते हैं", ठीक है, मैंने सोचा कि यह काफी स्पष्ट है कि चेरोटिंग और एसएफटीपी-केवल उपयोगकर्ता और सुरक्षा के बारे में विचार किया जाना एक बहुत ही गंभीर विषय है जो पेशेवरों को अपने कॉर्पोरेट या किसी अन्य में भी लाभ दे सकते हैं " पेशेवर "वातावरण।
अलेक्सांद्र माकोव

1
@ अगर आपको पता नहीं था, तो एसएफ को SO की माइग्रेशन सूची से हटा दिया गया है क्योंकि वे हमें कितने बुरे प्रश्न भेजते हैं।
एमडीमैरा

जवाबों:


9

क्योंकि, ज्यादातर मामलों में, रूट प्रक्रिया आसानी से चेरोट से बाहर निकल सकती है। यह डिजाइन के अनुसार है, क्योंकि चुरोट को सुरक्षा उपकरण के रूप में कभी नहीं बनाया गया था।

एलन कॉक्स ने कुछ हद तक एक डेवलपर को बर्खास्त कर दिया जिसने इस व्यवहार को "ठीक" करने के लिए एक कर्नेल पैच प्रस्तुत किया, यह दावा करते हुए कि सुरक्षा उपकरण के रूप में चुरोट का दुरुपयोग किया गया है, लेकिन कभी भी एक होने का इरादा नहीं था।


उत्तम! आपका बहुत बहुत धन्यवाद। तो यह जड़ प्रक्रियाओं की बात है जो जड़ में मौजूद हैं या इससे सुलभ हैं। धन्यवाद।
Aleksandr Makov

मैंने अभी-अभी यह सत्यापित किया है कि लिनक्स में दिखाए गए सी प्रोग्राम को unixwiz.net/techtips/mirror/chroot-break.html पर चलाकर 4.18 पर रूट के रूप में चेरोट से बचना संभव है।
अंक

इसलिए रूट विशेषाधिकार न सौंपें। यहां तक ​​कि नियमित "सुरक्षित" सिस्टम में रूट खाते हैं।
सेस टिम्मरमैन

6

मैं कम से कम एक उदाहरण जानता हूं कि इसे असुरक्षित क्यों माना जाता है। एक चेरोट पर्यावरण /procको अलग नहीं किया जाता है, इसलिए आपके चेरोट में शुरू की गई प्रक्रियाओं के स्वामित्व वाले संसाधनों का उपयोग करना काफी आसान है।

SFTP के लिए क्रोकेटेड एनवायरमेंट का उपयोग करना ठीक है और सुरक्षा के स्तर में काफी सुधार करता है। बस कंटेनर-आधारित वर्चुअलाइजेशन के रूप में इसका दुरुपयोग न करें, जो सुरक्षा के अधिक स्तर प्रदान करता है। इसमें, मैं @ एमडीएमरा के जवाब में क्या रेखांकित करता हूं।


धन्यवाद। तो अब यह और स्पष्ट हो गया है, कि चुरोट स्वयं सुरक्षा के मामले में खराब नहीं है, बल्कि इसकी सुरक्षा उस वातावरण पर निर्भर करती है जहाँ इसे स्थापित किया जाता है।
१२:०४ पर अलेक्सांद्र माकोव

वास्तव में, सुरक्षा पर चेरोट खराब नहीं है, क्योंकि यह सुरक्षा उपकरण होने का कभी इरादा नहीं था। इसका मतलब एक ही बायनेरिज़ के कई संस्करणों को अलग-अलग निर्भरता के साथ-साथ चलाने के लिए एक विकास उपकरण होना था। यह ठीक से सुरक्षित सेवाओं के लिए एक विकल्प नहीं है - हालांकि यह कुछ परिस्थितियों में सहायक हो सकता है जब तक आप समझते हैं कि यह क्या है और यह क्या नहीं है।
एमडीमैरा

MDMarra, इसलिए मूल रूप से, चेरोट का उपयोग SSH कनेक्शन कैप्चर करने के लिए नहीं किया जाता है। फिर, आपकी राय में, "आने वाले SSH कनेक्शन को चेरोट करना" ध्वनि आपके लिए कुछ अव्यवसायिक है और क्या इसे टाला जाना चाहिए?
१३:०३ पर अलेक्सांद्र माकोव

नहीं, जरूरी नहीं, बस यह महसूस करें कि किसी भी तरह के शोषण से विशेषाधिकार बढ़ सकता है या किसी भी प्रक्रिया को जड़ के रूप में चलाने से बाहर निकलने के लिए तुच्छ हो जाएगा। यह निश्चित रूप से पहेली में एक टुकड़ा हो सकता है, लेकिन यह पूरी बात नहीं होनी चाहिए।
एमडीमर्रा
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.