Chroot: sus posibilidades, sus ventajas, sus debilidades

En sistemas tipo UNIX, chroot permite crear un entorno de ejecución aislado del resto del sistema o aislar a un usuario. Rico en posibilidades, el chroot no es, sin embargo, una panacea porque también tiene puntos débiles. Visión general en Linux.

Un administrador de sistemas Linux, por definición un poco paranoico, se empeñará en que los usuarios del sistema no puedan hacer nada. El método más eficaz es prohibirles el acceso al sistema, pero a veces hay situaciones que requieren pequeñas concesiones. En este caso, chroot es una buena opción. chroot, como su nombre indica (CHange ROOT) cambia la raíz aparente del sistema de archivos para el proceso actual, así como para sus hijos. Es una utilidad de Shell construida alrededor de la llamada al sistema del mismo nombre chroot. Cuando un usuario se conecta, si el shell del usuario invoca a chroot, el usuario será colocado en un entorno llamado jaula. En este entorno, el usuario sólo podrá utilizar los comandos que estén a su disposición, y no todos los comandos del sistema. Hay otros usos muy interesantes de chroot. Por ejemplo, este comando permite reparar un Linux dañado desde un LiveCD. También puede utilizar chroot para proporcionar un entorno de desarrollo o de prueba para un programador. Esto garantiza que una aplicación que trabaje con archivos no corra el riesgo de destruir algo importante en el sistema durante su fase de desarrollo, ya que estará confinada en su prisión. Incluso es posible configurar un entorno de ejecución de 32 bits en un sistema de 64 bits. Muchos servicios dependen de la llamada al sistema chroot. Por ejemplo, los servidores FTP ProFTPD o PureFPTD hacen chroot a los usuarios en sus directorios de inicio de sesión, lo que les oculta permanentemente archivos a los que no deberían tener acceso. chroot, aunque es atractivo, también tiene puntos débiles que un administrador debería conocer. Descubramos todo esto a través de la práctica.

Frédéric Mazué

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *