Re: Как правильно выполнить chroot?

[Oleksandr Gavenko <gavenkoa@gmail.com>]

On 2016-04-14, Dmitry Nezhevenko wrote:

> On Thu, Apr 14, 2016 at 04:47:02PM +0300, Oleksandr Gavenko wrote:
>> Уже почитал chroot(2), но от schroot(1) ожидал большего
>
> schroot -- это всего лишь удобная обвязка вокруг chroot.
>
> Если нужно быстро запустить 'подозрительное' приложение, рекомендую
> глянуть на firejail. 
>
Спасибо за рекомендацию. С schroot уже поигрался и мне более-менее понятно что
там происходит. В записях нашел что мне ранее уже рекомендовали firejail, но
дальше установки я не смотрел, а зря.

>> Т.е. руткиты скорее всего
>> будут вырываться из контейнера и без виртуализации не обойтись.
>
> Руткиты могут "вырываться из контейнера" и при виртуализации:
> https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
>
>> В итоге только доверенный код можно выполнять в контейнере chroot + cgroups +
>> namespaces.
>
> Гарантию даст только физически отдельная машина. 

Вообще неожидано понять что в общественных VPS (будь то KVM или openvz) может
быть утечка данных.

Я посмотрел на крупных провайдеров VPS. Amazone EC2 используют гипервизор Xen,
т.е. каждый участник общественного компьютера со своим собственным ядром. Мне
кажется это безопасней чем надесятся что все тисячу системных вызовов Linux
без брешей...

Теперь цена в 7$/m (за EC2) не кажется такой уж большой, тогда как KVM решения
большие игроки продают не меньше чем за 5$/m.

-- 
http://defun.work/