Một máy chủ Ubuntu có tất cả 3 ứng dụng trên các miền riêng biệt.
Mỗi ứng dụng có nhà phát triển riêng.
Các nhà phát triển ứng dụng thuộc nhóm "sftp" linux.
chroot
cho phép truy cập sftp mật khẩu cho mỗi nhà phát triển ứng dụng.
/home/app1/prod
/home/app2/prod
/home/app3/prod
Trong sshd_config
Match Group sftp
PasswordAuthentication yes
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
Mối quan tâm của chúng tôi là một lỗ hổng lập trình trong một ứng dụng gây ra sự cố trong 2 ứng dụng kia.
Có nên sử dụng lxc container thay vì chroot? Tại sao? Thay đổi đối với các thùng chứa lxc sẽ được minh bạch cho các nhà phát triển ứng dụng?
chroot
làm là thay đổi thư mục gốc cho một quá trình. Nó không cung cấp sự cô lập hay bất cứ điều gì khác.