bonsoir , tout dans le titre
a part chroot , y a t il un environement jail existant sous debian ? exepter kfreebsd bien sûr
bonsoir , tout dans le titre
a part chroot , y a t il un environement jail existant sous debian ? exepter kfreebsd bien sûr
[quote=“Rexdeus”]bonsoir , tout dans le titre
a part chroot , y a t il un environement jail existant sous debian ? exepter kfreebsd bien sûr[/quote]
Nop, chroot, sinon tu peux aussi t’amuser avec docker.io.
Les ‘jails’ sont une spécificité au environnement BSD.
il est dit que le systeme jail est plus securisé que le chroot question securité , qu’en penser ?
Un mythe auquel j’ai cru aussi avant de m’être lancé dans la BSD, comme le fait qu’il n’est pas recommandé d’utiliser conjointement aptitude et apt-get.
Utilisant de la BSD et de la Debian à la maison et au boulot je ne vois pas de grosse différence, si ce n’est une création bien plus rapide et automatisée à l’aide d’outil comme ezjail.
chroot n’a pas non plus grand rapport avec les jails.
chroot est un appel système qui permet de cloisonner un processus à une sous arborescence du système de fichier, alors que jail fourni un conteneur complet (à l’image d’OpenVZ ou de LXC/docker). LXC/docker utilisent chroot, mais vont aussi se servir des cgroup et des namespace pour cloisonner chaque partie (le réseau, les processus, etc).
Il est dit qu’il est possible de sortir d’un chroot, je ne sais pas ce qu’il en est je m’y suis jamais intéressé.
En regardant on voit que sortir n’est pas très compliqué du moment qu’on est root perlmonks.org/?node_id=272120
Il existe aussi d’autres trucs pour Linux, comme user-mode-linux, VServer, …
mais LXC a le vent en poupe
Vserver est mort ou presque de facto (c’est presque le cas aussi d’OpenVZ).
UML c’est un peu différent c’est quelque chose qui peut s’utiliser avec LXC.
LXC est la bonne voie car c’est la seule qui est vraiment intégrée au noyau. Elle utilise les mécanismes du noyau à la vanille (contrairement à vserver et openvz) et offre à peu près toutes les possibilités de ses concurrents (docker apporte la simplicité).
Après tu peut utiliser les conteneurs plus lourds comme xen, lguest mais là c’est de la virtualisation.
[quote=“MisterFreez”]chroot n’a pas non plus grand rapport avec les jails.
chroot est un appel système qui permet de cloisonner un processus à une sous arborescence du système de fichier, alors que jail fourni un conteneur complet (à l’image d’OpenVZ ou de LXC/docker). LXC/docker utilisent chroot, mais vont aussi se servir des cgroup et des namespace pour cloisonner chaque partie (le réseau, les processus, etc).
Il est dit qu’il est possible de sortir d’un chroot, je ne sais pas ce qu’il en est je m’y suis jamais intéressé.
En regardant on voit que sortir n’est pas très compliqué du moment qu’on est root perlmonks.org/?node_id=272120[/quote]
De toute façon MisterFreez :
Important:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/jails.html
[quote]Jails are a powerful tool, but they are not a security panacea. While it is not possible for a jailed process to break out on its own, there are several ways in which an unprivileged user outside the jail can cooperate with a privileged user inside the jail to obtain elevated privileges in the host environment.
Most of these attacks can be mitigated by ensuring that the jail root is not accessible to unprivileged users in the host environment. As a general rule, untrusted users with privileged access to a jail should not be given access to the host environment.[/quote]
Niveau sécurité il est tout aussi facile/difficile de sortir d’une jail que d’un chroot, et tout deux permettent de cloisonner processus ou applicatif comme un tout un environnement.
Donc niveau sécurité pour moi c’est kiff kiff si ce n’est que la construction d’une jail est un poil plus aisée qu’un chroot … de toute façon la question en se pose pas car il n’ya pas de jail sous GNU/Linux.
Donc comme dit déjà plus haut le mieux actuellement est soit de virtualiser ou de se tourner vers du LXC/docker.io si l’on ne désire pas ‘chrooter’.