?DebianFrench
Le «Chrootage»
Principe
C'est quoi un «chroot» ?
Paquets
DebSearch:chroot
DebSearch:jail
Méthode
Comme d'habitude, le plus difficile n'est pas l'installation du chroot mais plutôt son réglage et sa maintenance ...
Installation de base
Construire un «chroot» est très facile sous Debian.
Il faut :
- installer les paquets nécessaires
apt-get install binutils debootstrap
- choisir un emplacement
cd /var ; mkdir -p chroot/woody
- construire le chroot
debootstrap --arch i386 woody woody/
- ça mouline, récupération d'une «image», décompression et installation des paquets nécessaires
- y entrer...
chroot /var/chroot/woody
NB : La taille d'un chroot ? (espace disque nécessaire)
slink 80 -- potato 95 -- woody 100 -- sarge 138
Configuration
En géneral, il est nécessaire de créer/modifier des points de configuration essentiels (liste non exhaustive)
La configuration d'un chroot étant relativement statique et très spécifique, on peut éventuellement se dispenser des commandes de «haut-niveau» et modifier directement les fichiers concernés.
- les utilisateurs définis dans le chroot
/etc/passwd /etc/groups
- les paramètres de réglages réseaux
/etc/hosts /etc/resolv.conf
- les montages de systèmes de fichiers
/etc/fstab
NB : ne pas oublier de monter obligatoirement /proc sinon le chroot ne risque pas d'être pleinement opérationnel !
Fignolage
- Éliminer les paquets non nécessaires (tout dépend donc de l'objectif du chroot)
apt-get install deborphan
deborphan -a
- Et par exemple
apt-get remove --purge telnet pppconfig manpages ipchains ...
liste complémentaire svgalibg1 whiptail
- Ajouter un peu de confort
apt-get install emacs21 sudo locales mc
Utilisation(s)
Plusieurs utilisations sont envisageables, par exemple :
recompilation d'application dans un contexte autre que la machine qui héberge le chroot (backport, cross-compilation, ...): ?DebFrBackport
- mise à jour d'un service en production par basculement de l'ancien service (machine hôte) vers le nouveau (installé dans le chroot)
- sécurisation d'un service «chrooté» par rapport à la machine hôte (et vice-versa)
Sécurisation
Comment s'évader de la prison ou comment surveiller la prison ?
- ["BuildingAChroot"] -- Discussion intéressante mais un peu obsolète (2000!)
Le chroot « à la main » http://clx.anet.fr/spip/article.php3?id_article=143