Во-первых, сделайте резервное копирование существующих файлов на всякий случай.
tar czf modx-old.tar.gz html/cms
Затем используйте cp
скопировать новые файлы в место. Вы не можете использовать mv
здесь, потому что это просто пропустило бы существующие каталоги вместо того, чтобы рекурсивно вызвать в них. Но cp
сделает глубокую копию, перезаписывая любой существующий файл в месте назначения.
cd html/modx-2.1.1-pl/ && cp -Rpf . ../html/cms/
С GNU cp
, можно добавить -l
создать жесткие ссылки вместо копирования.
Наконец можно удалить modx-2.1.1-pl
каталог.
Представление /proc
и /dev
выставляет еще некоторую информацию и предоставляет больше прав пользователям в тюрьме.
Остерегайтесь этого, uids и ценурозы могут отличаться внутри и снаружи тюрьмы. Например, в тюрьме, пользователь "x" может быть членом группы 123, которая в тюрьме является для "пользователей", в то время как в системе для "диска". Связанный смонтированным /dev
, Вы предоставили бы им доступ к устройствам неструктурированного диска, которые позволят им, фактически базируются доступ и выходят из тюрьмы.
Я не связал бы - монтируют/dev. Только создайте несколько устройств там, в которых, возможно, нуждается JAVA-приложение (null
, tty
, zero
...) с надлежащим владением и правами.
Вы рассмотрели контейнеры Linux вместо chroot тюрем, которые изолировали бы их больше (lxcs, просто шаг вперед в chroot тюрьмы).
Это - вполне большой предмет, и довольно много было записано об этом в сети, таким образом, я поощрю Вас читать вокруг немного.
Основная сводка - то, что chroot никогда не разрабатывался как средство защиты. Существует много способов, которыми пользователь root может 'выйти' из chroot тюрьмы и довольно многих способов, которыми может выйти обычный пользователь. Например, chroot не имеет отдельного пространства процесса, таким образом, процесс в chroot может 'присоединить' к любому внешнему процессу с помощью нормальных механизмов отладки. Некоторым современным дистрибутивам включили защиту, которая помешала бы тому конкретному нападению, но не всем. В любом случае пользователь root неуязвим почти для всех таких защитных устройств, и нет ничего для остановки его монтирующий любую файловую систему, которую это выбирает.
LXC лучше, и также встроен ко многим современным дистрибутивам (я верю), но страдает от некоторых из тех же проблем (в частности,/sys файловая система открыта для злоупотребления).
OpenVZ, предположительно, более безопасен, но намного более трудно настроить, и я не попробовал его сам.