Chroot: as suas possibilidades, as suas vantagens, as suas fraquezas

Em sistemas do tipo UNIX, chroot permite criar um ambiente de execução isolado do resto do sistema ou isolar um utilizador. Rica em possibilidades, a chroot não é no entanto uma panaceia porque também tem fraquezas. Visão geral sob Linux.

Um administrador de sistema Linux, por definição um pouco paranóico, estará interessado em certificar-se de que os utilizadores do sistema não podem fazer nada. O método mais eficaz é proibi-los de entrar no sistema, mas por vezes há situações que requerem pequenas concessões. Neste caso, chroot é uma boa opção. chroot, como o nome sugere (CHange ROOT) altera a raiz aparente do sistema de ficheiros para o processo actual, bem como para os seus filhos. É um utilitário Shell construído em torno da chamada do sistema com o mesmo nome chroot. Quando um utilizador faz login, se a casca do utilizador invoca o chroot, o utilizador será colocado num ambiente chamado cadeia. Neste ambiente, o utilizador só poderá utilizar os comandos que lhe são disponibilizados, e não todos os comandos do sistema. Existem outros usos muito interessantes para o chroot. Por exemplo, este comando permite-lhe reparar um Linux danificado a partir de um LiveCD. Também pode usar o chroot para proporcionar um ambiente de desenvolvimento ou teste para um programador. Isto assegura que uma aplicação que funcione com ficheiros não corre o risco de destruir algo importante no sistema durante a sua fase de desenvolvimento, uma vez que será confinada na sua prisão. É mesmo possível criar um ambiente de execução de 32 bits num sistema de 64 bits. Muitos serviços dependem da chamada do sistema chroot. Por exemplo, os servidores FTP ProFTPD ou PureFPTD utilizadores chroot nos seus directórios de início de sessão, que escondem permanentemente ficheiros dos mesmos a que não devem ter acesso. chroot, embora atraente, tem também fraquezas que um administrador deve estar ciente. Vamos descobrir tudo isto através da prática.

Frédéric Mazué

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *