Риски Chroot w//dev и/proc
Во-первых, сделайте резервное копирование существующих файлов на всякий случай.
tar czf modx-old.tar.gz html/cms
Затем используйте cp скопировать новые файлы в место. Вы не можете использовать mv здесь, потому что это просто пропустило бы существующие каталоги вместо того, чтобы рекурсивно вызвать в них. Но cp сделает глубокую копию, перезаписывая любой существующий файл в месте назначения.
cd html/modx-2.1.1-pl/ && cp -Rpf . ../html/cms/
С GNU cp, можно добавить -l создать жесткие ссылки вместо копирования.
Наконец можно удалить modx-2.1.1-pl каталог.
Представление /proc и /dev выставляет еще некоторую информацию и предоставляет больше прав пользователям в тюрьме.
Остерегайтесь этого, uids и ценурозы могут отличаться внутри и снаружи тюрьмы. Например, в тюрьме, пользователь "x" может быть членом группы 123, которая в тюрьме является для "пользователей", в то время как в системе для "диска". Связанный смонтированным /dev, Вы предоставили бы им доступ к устройствам неструктурированного диска, которые позволят им, фактически базируются доступ и выходят из тюрьмы.
Я не связал бы - монтируют/dev. Только создайте несколько устройств там, в которых, возможно, нуждается JAVA-приложение (null, tty, zero...) с надлежащим владением и правами.
Вы рассмотрели контейнеры Linux вместо chroot тюрем, которые изолировали бы их больше (lxcs, просто шаг вперед в chroot тюрьмы).
-
1Все ответы были действительно информативны. Я выбрал этого, потому что это было самым полным ответом и предупредило меня о другой проблеме uid/gid. Спасибо sch – David 10.10.2012, 08:33
Это - вполне большой предмет, и довольно много было записано об этом в сети, таким образом, я поощрю Вас читать вокруг немного.
Основная сводка - то, что chroot никогда не разрабатывался как средство защиты. Существует много способов, которыми пользователь root может 'выйти' из chroot тюрьмы и довольно многих способов, которыми может выйти обычный пользователь. Например, chroot не имеет отдельного пространства процесса, таким образом, процесс в chroot может 'присоединить' к любому внешнему процессу с помощью нормальных механизмов отладки. Некоторым современным дистрибутивам включили защиту, которая помешала бы тому конкретному нападению, но не всем. В любом случае пользователь root неуязвим почти для всех таких защитных устройств, и нет ничего для остановки его монтирующий любую файловую систему, которую это выбирает.
LXC лучше, и также встроен ко многим современным дистрибутивам (я верю), но страдает от некоторых из тех же проблем (в частности,/sys файловая система открыта для злоупотребления).
OpenVZ, предположительно, более безопасен, но намного более трудно настроить, и я не попробовал его сам.