12 апреля 2016 г., 10:47 пользователь Oleksandr Gavenko <gavenkoa@gmail.com> написал:
desktop:/# ps -e
...
и увидел все пользователькие процесы вне chroot.
И совершенно справедливо, потому chroot - это не jail какой-нибудь и не контейнер. Это просто возможность исключить определенную область файловой иерархии из видимости процесса. Не самая секьюрная вещь, если честно. Больше подходит для разработки, где вам надо что-то проверить в чистом окружении, например.
А всё остальное как: возможность видеть и посылать сигналы другим процессам, открывать соединения, слушать порты и прочим образом мешать не чрутованной части системы - всё это остаётся доступным.
т.е. ощущение что не важно биндишь или создаешь и можно создавать внутри...
Биндить или создавать новую точку монтирования важно для обычных файловых систем (не виртуальных). Ты не можешь замаунтить логический том в двух местах. Можешь замаунтить в одном и прибиндить в нескольких. А для виртуальных ФС - это абсолютно все равно.
Если хочется более серьезной изоляции, то нужно капать в сторону cgroups, namespaces, containers, virtualization (как-то в порядке возрастания overhead, на моё ИМХО).