Eu fiz o Debian Squeeze rodando e configurei um ambiente chroot (/ jail) com o debootstrap.
Como visto em um tutorial, montei o seguinte:
proc on /jail/proc type proc (rw)
devpts on /jail/dev/pts type devpts (rw)
Dentro da cadeia, eu estou executando um sshd adicional em uma porta diferente como o sistema "pai".
Até agora, tudo está funcionando bem e como esperado.
Mas notei que posso alterar o endereço IP do host de dentro da cadeia. Isso é um comportamento normal? Eu pensei que o ambiente chrooted não pode mudar as coisas no sistema "real"? Mas depois de alterar o endereço IP e executando
/etc/init.d/networking restart
o sistema só era acessível através do novo endereço IP.
Por favor, alguém pode explicar, por que isso se comporta como acontece? Há uma maneira de prevenir isto? De modo que tudo dentro da cadeia, "fica na cadeia"
Muito obrigado antecipadamente.
Casper
chroots SOMENTE altera a raiz visível do sistema de arquivos para processos-filhos do comando chroot-ing. Todo o resto - enviando sinais, manipulando o kernel, etc. - não é afetado. É muito simples deixar o chroot novamente, se é a única segurança que você tem no lugar.
Dê uma olhada no LXC , Linux-VServer ou OpenVZ para contêineres apropriados no Linux, que protegem de mais do que travessias acidentais de diretórios.
Tags networking chroot debian linux jail