Sommaire

chroot et virtualisation chroot Virtualisation

La technique appelée chroot (en anglais : change root, changer racine) permet de changer la racine de l’arborescence de répertoires pour un certain processus.

Pour illustrer cette phrase, voici un exemple : si, pour le daemon processusx, un chroot est fait au répertoire /chroot/processusx, ce dernier sera le répertoire / dans la vue de ce daemon ; en principe, le daemon ne pourra pas sortir de ce répertoire. Cela veut également dire que si le daemon processusx contient un bogue qui permet aux utilisateurs de s’évader de l’application et de gagner l’accès shell, ces utilisateurs ne peuvent pas non plus sortir de ce répertoire.

Un résultat de cette limitation stricte est que toutes les applications et toutes les bibliothèques de logiciels dont dépend le processus concerné doivent être copiées vers le répertoire en question, parce que le processus ne peut pas accéder aux fichiers hors du chroot jail (prison chroot). Le processus dans le chroot jail partage toujours les éléments comme la mémoire, le processeur et le réseau avec le reste du système. Un chroot ne peut être exécuté que par root, et le processus dans le chroot jail ne peut pas être exécuté avec les droits de root.

L’appel chroot n’est qu’une des couches de la sécurité d’un serveur, il est important de ...