Có một cửa sổ tương đương với chroot?


24

Trên hệ thống * nix, tôi có thể sử dụng một chroot để cách ly hai quá trình với nhau và với phần còn lại của hệ thống. Có bất kỳ hệ thống bảo mật tương tự dưới cửa sổ? Hoặc có cách nào để ngăn hai quá trình đọc / ghi vào các tệp khác không?


1
Tôi không chắc chắn thẻ bảo mật được bảo hành ở đây. kerneltrap.org/Linux/Abusing_chroot
MDMarra

1
@ The Rook - Trong cuộc thảo luận về hạt nhân đó, các nhà phát triển hạt nhân thảo luận về thực tế rằng chroot không bao giờ có ý định trở thành một thiết bị bảo mật /
MDMarra

1
@ The Rook - Phải, tôi chỉ đơn giản nói rằng bạn có thể muốn viết lại câu hỏi. Đã có các phần mở rộng cho chroot hoặc spin trên khái niệm (như các nhà tù) đã được thiết kế với mục đích bảo mật. Trong bài đăng của bạn, bạn đề cập đến chroot như một thiết bị bảo mật, điều mà nó không bao giờ có ý định.
MDMarra

1
@Nathan Adams Tôi đồng ý, nhưng "bảo mật trong các lớp".
Rook

1
Có vẻ như tôi đã hỏi một cái gì đó khá giống nhau ở đây . Bạn đã bao giờ quản lý để thiết lập điều này trên Windows Server chưa? Câu trả lời bạn chấp nhận không giải thích cách thực hiện điều này, cũng không nói rằng điều đó là không thể ...
RomanSt

Câu trả lời:


5

Tôi không chắc chắn bạn sẽ đạt được bất cứ điều gì trên Windows bằng cách chroot - bạn có nhu cầu cụ thể không?

Trong trường hợp bất kỳ kết quả hàng đầu nào trên google là http://www.winquota.com/wj/ .

Có lẽ ảo hóa ứng dụng có thể là một lựa chọn? Microsoft có những điều sau đây để nói về nó:

Trong môi trường vật lý, mọi ứng dụng phụ thuộc vào HĐH của nó cho một loạt các dịch vụ, bao gồm cấp phát bộ nhớ, trình điều khiển thiết bị và nhiều hơn nữa. Sự không tương thích giữa một ứng dụng và hệ điều hành của nó có thể được giải quyết bằng ảo hóa máy chủ hoặc ảo hóa trình bày; nhưng đối với sự không tương thích giữa hai ứng dụng được cài đặt trên cùng một phiên bản HĐH, bạn cần Ứng dụng ảo hóa.


5
Một trong những quy trình của tôi được viết kém và rất không an toàn, ban quản lý không muốn sửa nó vì nó sẽ "quá đắt". Tôi hy vọng quá trình này sẽ được sở hữu cuối cùng và tôi muốn hạn chế tác động đến hệ thống của mình. Nếu bạn thực sự tin rằng không có gì để đạt được, thì bạn phải đọc thêm về chroots.
Rook

1
@Rook Bởi vì trên Windows, bạn có thể có quyền truy cập được tách khỏi bố cục hệ thống tệp. Bỏ qua phần ngực của bạn trong phần bình luận của câu trả lời này , đó là cách tiếp cận mà hầu hết mọi người thực hiện để cách ly các phần của hệ thống tệp từ một quy trình không được phép truy cập vào nó; chỉ cần cung cấp cho người dùng quy trình được bắt đầu dưới quyền truy cập vào tập hợp con của hệ thống tệp và dịch vụ mà nó cần.
Asad Saeeduddin

@Asad Saeeduddin Nói về hệ thống tập tin, không phải windows chỉ tự động chạy các tệp thực thi không đáng tin cậy được tìm thấy trên một thanh USB ? Năm nay là năm nào
Rook

Tôi có một nhu cầu cụ thể, không liên quan đến bảo mật - chương trình này tôi dự kiến ​​sẽ hoạt động trên hệ thống tập tin gốc của chính nó và sẽ là một nỗ lực lớn để chuyển nó để sử dụng các thư mục hiện tại một cách chính xác. Rất may, nó hoạt động độc lập với hệ thống tập tin - trên Windows, nó sẽ trải dài trên toàn bộ gốc của bất kỳ ổ đĩa nào nó chạy. Nếu tôi chỉ có thể "bí danh" thư mục gốc trong Windows cho một số thư mục con, thì nó sẽ sạch hơn và dễ dàng hơn để theo dõi, do đó muốn chroot.
Vụ kiện của Quỹ Monica

7

Sandboxie http://www.sandboxie.com/

Không chính xác như chroot. Nó không thiết lập một hộp cát cho mỗi chương trình bạn chỉ định. Nó có thể dễ dàng giữ các quá trình bị cô lập.


2

Tôi sẽ không sử dụng bất cứ thứ gì như thế này, bạn đang chạy dưới Windows mate.

NTFS có quyền truy cập chi tiết tốt nhất mà bạn có thể tìm thấy. Không khó để cho một prozess bắt đầu với người dùng đặc quyền thấp hơn và chỉ cấp cho người dùng đó quyền truy cập vào các tệp của ứng dụng này.

Không cần sử dụng một cái gì đó như chroot, không phải là một công cụ bảo mật, khi bạn đã có thể xác định người dùng nào được phép làm gì trong thư mục nào.

Không khác gì việc cho người dùng Apache trong Linux, chỉ được phép làm việc trong các thư mục của mình.


2
Đây là câu trả lời chính xác về lý do tại sao chroot không cần thiết
Jim B

@rook, sau đó họ đã thất bại trong việc theo dõi các trang trắng BPSAD và PTH để loại bỏ các cuộc tấn công bằng vé vàng. Theo tôi biết rằng chỉ vẫn hoạt động trên lề đường * nix.
Jim B

@Jim B ngăn cách có thể nghe có vẻ xa lạ trong một nền tảng thường xuyên cấp quyền quản trị cho trình duyệt, cơ sở dữ liệu và máy chủ web. tuy nhiên, hộp cát là một biện pháp chuyên sâu phòng thủ thiết yếu không phân biệt nền tảng.
Rook

@rook, tôi nghĩ rằng bạn đang nhầm lẫn quyền với sự cô lập, các cửa sổ cô lập các quy trình theo mặc định. Các quy trình chỉ có thể truy cập / tích hợp với hoặc ảnh hưởng đến quy trình khác nếu được phép.
Jim B

@JimB, tôi không nghĩ (vì vậy trừ khi tôi hoàn toàn hiểu sai ý kiến ​​của bạn). Ví dụ, bắt đầu một quy trình trong Windows 7 không cho bạn lời nhắc bảo mật và sau đó quá trình có thể đọc 90% ổ lưu trữ của bạn mà không cần phải hỏi bất kỳ quy trình hệ thống nào về nó. Chỉ khi nó cố gắng sửa đổi, hãy nói "C: \ Program Files" thì HĐH mới có thể tát cổ tay nhưng đó không phải là bảo mật, đó là những yếu tố cơ bản hầu như không được bảo vệ.
dimitarvp

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.