假设你有一个chroot您需要资源(应用程序或库)的环境,该资源驻留在主机上(chroot 外部)。
mount --bind对该资源执行(从主机到 chroot)而不是将其安装在 chroot 上(即通过- )的安全隐患是什么(如果有)apt-get install?
答案1
在我看来,mount --bind目录和文件的硬链接都存在同样的安全问题:chroot 中的文件最终会被相同(即指向相同的 inode)比 chroot 之外的文件更安全。因此,如果 chroot 用户找到一种方法来修改 chroot 内部的这些文件,那么他们实际上找到了一种方法来修改你的文件。
根据您设置的环境,这可能是或可能不是一个严重的安全问题,但您在做出此选择时必须考虑到这一点。