Seperti namanya, operasi chroot mengubah direktori root yang terlihat untuk proses yang sedang berjalan dan anak-anaknya. Ini memungkinkan Anda untuk menjalankan program (proses) dengan direktori root selain /. Program tidak dapat melihat atau mengakses file di luar pohon direktori yang ditentukan.
Misalnya, Anda dapat menjalankan program dan menentukan direktori root-nya sebagai /home/Oracle/jail. Dalam hal ini, direktori root program sebenarnya adalah /home/Oracle/jail. Program tidak akan mengetahui, atau dapat mengakses, file apa pun di atas direktori ini dalam hierarki. Direktori root buatan ini disebut chroot jail. Tujuannya adalah untuk membatasi akses direktori penyerang potensial. Penjara chroot mengunci proses tertentu dan ID pengguna apa pun yang digunakannya sehingga pengguna hanya melihat direktori tempat proses tersebut berjalan. Untuk proses tersebut, tampaknya proses tersebut berjalan di direktori root.
Menjalankan Layanan DNS dan FTP di Penjara chroot
Dua layanan disiapkan untuk memanfaatkan jail chroot. Anda dapat mengatur DNS sehingga bernama berjalan di penjara. Server FTP vsftpd dapat secara otomatis memulai jail chroot untuk klien.
DNS di Penjara chroot
Paket bind-chroot memungkinkan Anda mengatur nama untuk dijalankan di penjara chroot. Saat Anda menginstal paket ini, /var/named/chroot direktori dibuat dan menjadi direktori jail chroot untuk semua file BIND.
- Direktori /var/named menjadi /var/named/chroot/var/named. File
- /etc/named* menjadi file /var/named/chroot/etc/named*.
Menginstal paket ini juga menyetel variabel shell ROOTDIR ke /var/named/chroot di file /etc/sysconfig/named. Keuntungan menjalankan bernama di chroot jail adalah jika peretas memasuki sistem Anda melalui eksploitasi BIND, akses peretas ke seluruh sistem Anda akan diisolasi ke file di bawah direktori jail chroot.
Klien FTP di Penjara chroot
Secara default, pengguna anonim ditempatkan di penjara chroot. Saat pengguna anonim masuk ke server vsftpd, direktori home pengguna adalah /var/ftp. Namun, yang dilihat pengguna hanyalah/.
Misalnya, direktori bernama /var/ftp/upload muncul sebagai /upload ke pengguna anonim. Ini melarang pengguna anonim untuk dapat mengakses file apa pun di atas /var/ftp dalam hierarki direktori.
Pengguna lokal yang mengakses server vsftpd ditempatkan di direktori home mereka. Anda dapat mengaktifkan opsi di file /etc/vsftpd/vsftpd.conf untuk menempatkan pengguna lokal di penjara chroot, di mana direktori root buatan adalah direktori home pengguna. Opsi berikut ada di file konfigurasi vsftpd untuk menerapkan chroot jail bagi pengguna lokal:
- chroot_list_enable
- chroot_local_user
- chroot_list_file
Ketika pengguna lokal masuk ke server vsftpd, direktif chroot_list_enable dicentang. Jika arahan ini disetel ke YA, layanan akan memeriksa /etc/vsftpd/chroot_list file (secara default) atau file lain yang ditentukan oleh chroot_list_file arahan.
Direktif lain kemudian diperiksa, chroot_local_user . Jika arahan ini disetel ke YA, maka chroot_list menjadi daftar pengguna untuk NOT chroot. Jika direktif ini disetel ke NO, pengguna dimasukkan ke dalam chroot jail di direktori home-nya.