12 апреля 2016 г., 10:47 пользователь Oleksandr Gavenko <gaven...@gmail.com> написал:
> desktop:/# ps -e > ... > > и увидел все пользователькие процесы вне chroot. > И совершенно справедливо, потому chroot - это не jail какой-нибудь и не контейнер. Это просто возможность исключить определенную область файловой иерархии из видимости процесса. Не самая секьюрная вещь, если честно. Больше подходит для разработки, где вам надо что-то проверить в чистом окружении, например. А всё остальное как: возможность видеть и посылать сигналы другим процессам, открывать соединения, слушать порты и прочим образом мешать не чрутованной части системы - всё это остаётся доступным. > > т.е. ощущение что не важно биндишь или создаешь и можно создавать внутри... Биндить или создавать новую точку монтирования важно для обычных файловых систем (не виртуальных). Ты не можешь замаунтить логический том в двух местах. Можешь замаунтить в одном и прибиндить в нескольких. А для виртуальных ФС - это абсолютно все равно. Если хочется более серьезной изоляции, то нужно капать в сторону cgroups, namespaces, containers, virtualization (как-то в порядке возрастания overhead, на моё ИМХО). -- With best regards Max Dmitrichenko
