chroot+debootstrap - почти виртуалка

[kroxa90]

drako, для xen есть xen-tools

vadim-nsk, абсолютно согласна. OpenVZ - это игрушечки  и детский сад. Одно только плясание с бубнами вокруг бриджей на бриджах чего стоит. kvm - хорошо конечно, но требуется железо, которое держит виртуализацию и затраты на создание самого окружения слишком велики. Одна и таже конфигурация системы в kvm будет отнимать в гораздо больше ресурсов по сравнению с той-же конфигурацией, но под xen (в режиме паравиртуализации) или под OpenVZ.
У kvm есть несколько плюсов - элементарно простая работа с технологией. Запуск чужеродных систем (например винды или bsd). Но есть минусы: затраты системных ресурсов и древние как мамонт глюки при работе с VLAN и bound. Похоже их никогда не излечат.

Xen тоже умеет делать полную виртуализцию. И он неспроста включен в 3 ядро. Так-что даже Ubuntu скоро начнет его поддерживать из коробки.

Вообще, не нужно замыкаться на чем-то одном. Для разных задач следует применять разные подходы.

Но тема посвящена вообще chroot
Так что наверное не стоит раздувать холивары про альтернативные технологии. Тем более что они совершенно разные. Это как спор: что лучше nfs, smb или iscsi

[dimas000]

насчет чрута давно мучает вот такой вопрос: для этого самого чрута мы монтируем /proc куда следует. однако, есть вот такая технология доступа к бесценным данным через /proc/<pid>/fd/*: http://habrahabr.ru/blogs/sysadm/122424/ , ну и еще где-нибудь можно почитать, гугл по этому самому "/proc/*/fd"
правда, с "leafpad /path/to/file" такой фокус не прокатил - были только линки на какие-то сокеты, а что с ними делать, я хз. но в любом случае, будучи рутом в чрут-среде имеем потенциальную возможность через /proc выковырять что-нибудь интересное.
да, еще часто предлагают бинд-маунтом прицепить /dev. для персонального использования подойдет, а если такую среду раздавать кому ни попадя, простор для творчества еще больше. то же самое, по идее, с sysfs...

[kroxa90]

Сразу стоит объяснить, что chroot не дает никакой защиты в плане безопасности!
Это надо помнить всегда. И те наивные люди, думающие, что:"вот мол погрузил апач в chroot и теперь могу кривые и дырявые скрипты на нем крутить безопасно для системы" , ОШИБАЮТСЯ.
chroot имеет тот-же доступ к вашему железу, что и стандартная система. И если пользователь под chroot бедокурит, то это тоже-самое, что и в обычной системе.
Для безопасности в ubuntu смотрим AppArmor
Через /proc можно много всего сделать, через /dev можно делать все. С помощью AppArmor можно крылья кое-кому подрезать.
Лично от себя напоминаю, что изначально писала топик, чтоб дать Вам самим что-то попробовать не испоганив свою родную системку. Например пакеты пособирать, софт какой-нить опробовать...

[Alie Alexandross]

chroot даёт защиту от directory traversal. Получив shell, можно вносить изменения в /proc и /sys, но получим одноразовый еффект. Зато passwd и shadow будут недоступны.

[drako]

chroot даёт защиту от directory traversal. Получив shell, можно вносить изменения в /proc и /sys, но получим одноразовый еффект. Зато passwd и shadow будут недоступны.

Насколько помнится в chroot была какая-то уязвимость позволявшая полчить рутовый доступ ко всей системе. Читал про это давно, насколько правда - не знаю.

[dimas000]

кстати, есть еще забавная метода: бинд-маунтом цепляем корень куда-нибудь в ридонли (в один этап не хочет, так что сначала mount / -B /куда, а потом mount -o remount,ro /куда), потом поверх него с помощью aufs монтриуем в rw какой-нибудь небольшой раздельчик или даже tmpfs (если памяти полно) для записи в него изменений (таким макаром работает лайвцд той же Убунты). чрутимся во все это дело и получаем систему, идентичную запущенной, над которой дальше извращаемся...

[vadim-nsk]

Ок, офтопить не буду, просто постоянно интересуюсь вопросами разделением ресурсов:). Я вот так и не понял, что реально мало кто jailkit пользуется? Очень же удобно.

[kroxa90]

ftp://ftp.muug.mb.ca/mirror/centos/6.2/os/x86_64/Packages/centos-release-6-2.el6.centos.7.x86_64.rpm

Если не ясен смысл, приведенных строк, то стоит начать с чего-нить полегче.

[d4vid1]

kroxa90,
Privet Kak dela?

На форуме ЗАПРЕЩЕНО
2.3. Флудить и заниматься флеймом, а так же оставлять сообщения, не относящиеся к теме обсуждения.
2.10. Использовать транслит и чрезмерное количество заглавных букв в сообщениях. Уважайте тех, кому придётся читать то, что вы написали. Если у вас нет возможности печатать на русском, используйте специальные сайты-транслитераторы (например, translit.ru) или виртуальные клавиатуры.

На первый раз устное предупреждение.

--andrew_bye