9 我听说一直需要chroot BIND。很公平。但是其他程序呢?决定应监禁哪些程序的“规则”(个人的或广泛接受的/确立的)是什么? -M linux chroot security — 迈克·B source
5 通常,出于以下几个原因,您可能希望使用chroot: 需要另一个发行版/体系结构/发行版,而无需使用OpenVZ或虚拟机。例如,我使用chroots在amd64机器上同时拥有i386和amd64编译环境。 限制用户访问系统。例如,您可以将chroot与scponly一起使用以限制用户有权访问的命令。这是一个非常有限的监狱系统,因为例如他们仍然可以访问网络。 限制对程序的系统访问。通常,您可能最想对守护程序执行此操作,例如bind或apache。这样,这些程序将无法直接访问系统,因此,如果攻击者可以使用该程序的安全漏洞,它将不会直接访问系统,而是会进入chroot。它有助于增强安全性,但不能保证系统的安全性。 — phaphink source
12 如果答案不是“出于安全目的”。请参阅滥用chroot。 当有人建议将chroot经常用作安全工具时,Adrian Bunk反驳说:“无能的人实施安全解决方案是一个真正的问题。” Alan补充说:“ chroot从来都不是安全工具。人们已经基于chroot的属性构建了东西,但是对其进行了扩展(BSD jails,Linux vserver),但是它们却完全不同。” — 翻倒的货车 source 对我来说这是新闻...非常有趣。 — Joseph Kern
6 如果您的程序需要的库集/版本与系统上安装的库不同,那么这将是“ chrooted”安装的理想选择。 chroot还可方便地在自己的环境中安装不同版本的Linux发行版,而无需使用VM或仿真器(在Red Hat下设置Debian chroot)。 — 洛朗·帕特诺(Laurent Parenteau) source
-2 这一切都取决于你有多偏执。出于大多数目的和目的,出于安全考虑,应该对每个服务进行chroot。但是,对所有内容执行此操作可能并不可行,因为尝试复制所有内容可能会有些乏味。出于隔离目的考虑的另一种可能性是使用轻量级虚拟机,例如OpenVZ / VServer,本质上类似于chroot,但更多情况下如此。 — sybreon source