Pregunta:
He escuchado / leído mucho acerca de la cárcel chroot bajo linux pero nunca la he usado todavía (uso Fedora día a día), entonces, ¿qué es una "cárcel" chroot? ¿Cuándo y por qué podría usarlo / no usarlo y hay algo más que deba saber? ¿Cómo haría para crear uno?
Respuesta:
Una cárcel chroot es una forma de aislar un proceso y sus hijos del resto del sistema. Solo debe usarse para procesos que no se ejecutan como root, ya que los usuarios root pueden salir de la cárcel con mucha facilidad.
La idea es que cree un árbol de directorios donde copie o vincule todos los archivos del sistema necesarios para que se ejecute un proceso. Luego, usa la llamada al sistema chroot() para cambiar el directorio raíz para que esté en la base de este nuevo árbol e iniciar el proceso que se ejecuta en ese entorno chroot. Dado que en realidad no puede hacer referencia a rutas fuera de la raíz modificada, no puede realizar operaciones (lectura / escritura, etc.) maliciosamente en esas ubicaciones.
En Linux, usar un bind mounts es una excelente manera de poblar el árbol chroot. Con eso, puede ingresar carpetas como /lib y /usr/lib sin ingresar /usr , por ejemplo. Simplemente vincule los árboles de directorios que desee a los directorios que cree en el directorio jail.