Romain a écrit : ...
Mais quel(s) est(sont) les inconvénients de cette méthode ?
Recréer une partie (ou tout) de l'arborescence Linux, plus ou moins remplie (++libs) et surveiller chaque MàJ du système central afin qu'une évolution de ces libs soit MàJ également; mais aussi et surtout la possibilité de prendre le contrôle du chroot par des attaques très diverses, dont de très sophistiquées sur la mémoire partagée (etc etc) en n'étant pas root. Et donc de finir par prendre le contrôle du système central, le chroot étant souvent sa copie conforme par paresse ou ignorance; et parce que de toute façon, si l'attaquant a réussi une fois, il-y-a 90% de chance qu'il réussisse une 2nde.
Pourquoi Debian par défaut ne chroote pas les "gros" services (Apache, SSH, ...)
sans doute pour les raisons sus-mentionnées et d'autres encore. [++supputation] Etant donné que Debian s'est taillée en grande partie sa réputation par son orientation stabilité/sécurité, si l'intérêt avait été réel & significatif, le staff aurait sans doute utilisé chroot par défaut. [--supputation] Debian c'est la liberté et l'admin est tout puissant; donc il fait ses propres choix en fonction de ses besoins, de son expérience et de la variation du coefficient de flexibilité des câbles réseau ethernet. -- Shit Happens.
