問題タブ [chroot]

ユーザーに制限付きのファイル アクセスを許可する Linux C++ プログラムを変更します。したがって、プログラムは、ユーザーがアクセスできるファイルを含むサンドボックスに自分自身をchrootします。すべてうまくいきました。

ただし、現在、プログラムは独自のニーズ (ユーザーのニーズではない) のためにいくつかのファイルにアクセスする必要がありますが、それらはサンドボックスの外にあります。chroot は、chroot の前に開かれたファイルにアクセスできることを知っていますが、この場合、必要なファイルは何百ものファイルのうちの数個になる可能性があるため、必要になる可能性のあるカップルのためだけにそれらすべてを開くことは明らかに非現実的です。

ファイルにアクセスする方法はありますか?

chrootでDjangoを実行できますか？特に、（たとえば）/ var / wwwをchrootされたディレクトリとして設定し、そのchrootされたディレクトリでDjangoを実行するには何が必要ですか？

ありがとう-私はどんな入力にも感謝しています。

ubuntu chroot 環境を (debootstrap を使用して) 作成し、unoconv を使用してファイルを変換するサービスとして openoffice を開始しました。動作しますが、chroot jail の外で 1 秒未満の変換を行うのに約 20 秒かかります。調べてみると、この余分な時間が、タイムアウトの期限が切れるソケット操作に費やされていることがわかります。同じ操作は、chroot 環境がなくてもうまく機能します。ただし、同様の操作は正常に機能します。

なにか提案を？

サーバーの起動 (chroot):

それを呼ぶ（クルートも）：

タイムアウト トレース:

タイムアウトなしの同様のトレース (同じ unoconv 操作):

chroot の詳細:

• dchroot を使用して通常のユーザーとして使用する

• マウントされたdev、procなど（fstab）：

  /tmp /var/local/chrootest/tmp
  /dev /var/local/chrootest/dev
  /sys /var/local/chrootest/sys
  proc-chroot /var/local/chrootest/proc
  devpts-chroot /var/local/chrootest /dev/pts

ポート80で静的コンテンツと動的コンテンツの両方を提供するJavaサーブレットコンテナを実行する場合、サーバーを次のように実行するかどうかという古典的な質問があります。

1. 可能であれば、chroot刑務所のルートとして（これはまだ機能していません）
2. root以外のユーザーとして、IPTablesを使用して、ポート80をコンテナーが実行されている他のポート（> 1024）に転送します。
3. 両方：非rootユーザー、IPTables、およびchrootjailとして。

optの問題。1は、chrootingの複雑さであり、rootを実行する際のセキュリティの問題です。optの問題。2つは、LinuxディストリビューションごとにIPTablesを永続化する方法が異なることです。もちろん、オプション3はおそらくアイデアですが、セットアップが非常に困難です。

最後に、すべてのディストリビューションには、デーモンスクリプトに厄介な違いがあります。

人々はディストリビューションにとらわれない最良の解決策として何を見つけますか、そしてこれを行う方法を示すためのリソースはありますか？

編集：サイトはほとんど動的であり、総メモリフットプリントが重要であるため（ホスティングコスト）、サーブレットコンテナの前でApacheを実行したくありません。

私は次のようなことをしたい:

しかし、私はエラーが発生します:

つまり、schroot環境内でシェル コマンドをプログラムで実行できるようにしたいのです。この動作を取得する正しい方法は何ですか?

デバイス用ソフトウェアの開発には、chroot 開発環境を使用しています。chroot dev 環境は、システムの残りの部分をビルドシステムのハッキングから隔離します。chroot 環境はテキスト ベースですが、私はグラフィカル テキスト エディターを使用することを好みます。現在、1 つの端末を開発環境に chroot してパッケージをビルドし、1 つの端末を外部から chroot 環境に向けてファイルを編集しています。

これらの端末間を絶えず切り替えるのはうんざりですが、明らかな理由から、コンパクトな開発環境に X と Gnome をインストールしたくありません。特定のコマンドを外部環境に転送する方法が必要ですが、簡単な解決策が思いつきません。chroot 環境内から外部システムでコマンドを実行するにはどうすればよいですか?

いくつかの残念な理由により、独自のバイナリ ライブラリをワークステーションごとに 1 ユーザーからワークステーションごとに複数ユーザーのセットアップに変換する必要があります。

現在のセットアップ。ユーザーは、ライブラリにリンクされたプログラムを使用します。このライブラリは、複数の作業ディレクトリへの複数のパスを含むシステム全体の構成ファイルを (ハードコードされたパス、つまり /usr/local/thelib/main.conf を使用して) 読み取ります。wdir 自体には、一連のユーザー データ ファイルが含まれています。

望ましい結果。同じワークステーションで複数のユーザーを管理できること。もちろん、ユーザーはライブラリを介して他のユーザーのデータを読み取ったり変更したりすることはできません。これは、ユーザーごとに異なる作業ディレクトリをライブラリに供給することができた場合、UNIX 権限で処理する必要があります。

ライブラリは同時に複数のユーザーによって使用される可能性があるため、実行時に /usr/local の構成ファイルを ln-ing することはできません。

環境変数または現在の UNIX ユーザーに応じて、ファイル /usr/local/thelib/main.conf に異なるコンテンツを提供するために FUSE を使用することを考えていました。環境変数は、構成ファイルを生成するコード内のスイッチとして使用されます。

Python、Perl、または C を快適に使用できます。

ワークステーションは、かなり最近のカーネルで最新の GNU/Linux Debian または Ubuntu ディストリビューションを実行しています。

そう。どう思いますか ：

• FUSEを使用しますか？
• 別の種類のラッパーを作成していただけませんか - chroot(2) の使用は janneb ごとに以下で提案されました - ?
• Linux で許可されている他のものを使用しますか?

機能的なものを作成できることはちょっと知っていますが、今は車輪を再発明したくないので、コミュニティのアドバイスを受けます.

ありがとう。フロリアン

私はこのようなことをしたいと思います:

これは機能しますか？chroot された Perl スクリプトは、これら 2 つのパラメーターで渡されますか? そうでない場合、これを行う方法は？

chrootそれ以外の場合は、スクリプトで単純に実行してから、次のようなコマンドの実行を開始する方法はありますか?

私が理解しているように、それらを順番に書き込むbashだけでは、終了後にのみ実行され、インストールしていない場所（PXEから実行されているRAMディスク）chrootに制御が戻ります。perl

apt-get を介して多数のパッケージをインストールする puppet スクリプトを持っています (またはすぐに持つ予定です)。chroot 内からアクセスできるようにする必要があります。それを設定する簡単な方法はありますか？

私の最初の考えは、chroot 内から apt-get を実行することですが、それは厄介であり、完了時に apt-get を完全に削除したことを確認するにはどうすればよいかという潜在的な問題の両方のように思えます。

余談ですが、jail をセットアップしたら、tar を作成して移動できるはずですよね?

重要な場合に備えて、必要なものには次のものが含まれgcc-multilib g++-multilib libc6-i386ますlibc6-dev-i386

私の本当の質問の代わりに：chroot刑務所を作るための簡単なコマンドラインツールを知っている人はいますか？コマンドを実行し、実行するために必要なすべてのものを特定のディレクトリにコピーするものを考えています。ツールのいくつかの指示を見ましたが、構成ファイルがあり、Xから起動することを期待しているようで、どちらも私の場合は機能しません。

そして本当の質問のために：

chroot jailを作成しようとしていますが、機能しません。これは、コマンドをstraceしたときに得られるものです。

あるはずなのにchroot見つからないようです。make私が欠けているアイデアはありますか？

ところで：これは最近のUbuntuボックスにあります。