Quote: http://www.real-blog.com/linux-bsd-notes/375
chroot (全寫為 change root) 是將整個 process 限制在指定目錄內的工具,這個限制的目錄一般稱之為 "監獄" (jail)。當使用了 chroot 後,當一個伺服器發生安全問題時,也不致於波及到整個系統。
Chrooted SSH/SFTP On Fedora 7
ref: http://www.howtoforge.com/chroot_ssh_sftp_fedora7
Chrooting BIND
ref: http://phorum.study-area.org/viewtopic.php?p=88384&sid=54cdda8ea4cde386cf8b4fa22d0c5ba1
ref: http://wiki.ubuntu.org.cn/index.php?title=Bind9%E5%AE%89%E8%A3%85%E8%AE%BE%E7%BD%AE%E6%8C%87%E5%8D%97&variant=zh-tw#Chrooting_BIND9
2008/02/14
Quote: http://tetralet.luna.com.tw/index.php?op=ViewArticle&articleId=197&blogId=1
chroot 簡介
chroot (change root directory) 這個指令是用來指定新的 / 的路徑。簡單得說,因為 Linux 是一個檔案導向的系統,所以我們可以在某一個目錄中建立另一個 Linux 目錄結構,然後使用 chroot 指令來進入這一個目錄中。之後所有的程式在運作時將會把這個目錄視同為 /。這樣,我們就可以輕易得打造一個虛擬的 Linux 運作環境。
但值得注意的是,這個給 chroot 用的虛擬環境其實只要能讓您想運作的特定的程式,如:bind,能夠執行即可;並沒有必要把整個完整的 Linux 結構全放進來。也就是說,我們可以試著打造一個不到 1MB 就能夠順利運行的 chroot 環境。如果您想知道對此的一些進階的實作細節,請不妨參考 chroot-BIND HOWTO 裡的說明。
因此,chroot 常被用來建立一個高度安全的 Linux 運作環境,因為即使這個虛擬的 Linux 運作環境不幸被突破了,入侵者得到的常常是空無一物,甚至是什麼程式都不能執行的 Linux 空殼。
註:
利用 chroot 環境雖可提供較高的安全性,但因為只有 root 才可以執行 chroot 指令,因此若被取得 chroot 環境的 root 權限時,將會被視為已被取得原系統的 root 權限,因為入侵者可以藉由呼叫 chroot() 來切換到系統真正的 / 目錄。chroot 的安全性並不如想像中那麼的銅牆鐵壁。
留言