この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方)
出典検索?: "Chroot"
chrootとは、UNIXオペレーティングシステム (OS) において、現在のプロセスとその子プロセス群に対してルートディレクトリを変更する操作である。ルートディレクトリを別のディレクトリに変更されたプロセスは、その範囲外のファイルにはアクセスできなくなるため、この操作をchroot監獄や模擬ルートなどとも呼ぶ。"chroot" は chroot(2) システムコールおよび chroot(8) コマンドを意味する。
chroot システムコールは、Unix Version 7 (1979) に新機能として加えられ、1982年3月18日(4.2BSDリリースの17ヶ月前)、ビル・ジョイがインストールおよびビルドシステムのテスト用にBSDに導入したのが起源である。 chroot はOSの仮想化され分離されたコピーを作るのに使われる。これには、以下のような用途がある。 一部のUNIXはこれらの制限の一部に対処した拡張を用意している(OSレベルの仮想化と呼ばれる)。 chroot は root 権限が必要だが、LD_PRELOAD を使い、open() などにフックをかけて root 権限なしで chroot と同等のことを行う fakechroot がある[4]。
用途
テストと開発
実際に使用中のシステムで評価するには危険と思われる開発中ソフトウェアのテスト環境構築に chroot を使う。
依存関係制御
ソフトウェアの開発において、ビルドに最低限必要なものだけを用意した環境に chroot して実施することもできる。これにより、意図しないライブラリがリンクされてしまうのを防ぐことができる。
互換性
古いソフトウェアや異なるABIを使っているソフトウェアは、場合によっては chroot した環境で実行する必要がある。これは例えば、動的リンクされるライブラリが同じ名前で異なる内容を必要とされる場合があるためである(名前空間の衝突の回避)。
復旧
ブートできなくなったシステムの復旧において、別のブート媒体(Live CD など)で立ち上げておいて、ダメージのある環境に chroot することがある。UNIXのインストールでも、最初はインストール媒体で立ち上げておいて、最小限インストールした時点で chroot でディスクをルートディレクトリとすることもある。
権限不要の仮想化(一部の限定的なシステム)
仮想化のためには通常、rootが必要だがrootが取れない場合などに利用される。主にAndroidアプリのUserLandやtermuxはこの技術を採用している。
特権分離
chroot されたプロセスのオープンしているファイル記述子(ファイル、パイプ、ネットワーク接続など)はそのまま保持されるので、chroot したディレクトリ内に作業用ファイルを残す必要がなく、chroot監獄の設計が簡略化される。これを応用して、特権プログラムの脆弱性のある部分だけを chroot して実行することで不正なファイルアクセスを防ぐことができる。しかし、chroot したとしてもシステムコールができなくなるわけでもなく、ブロックデバイスへのアクセスを拒否するわけでもないため、特権を得た攻撃者にはあまり効果がない。
ハニーポット
chroot はネットワークサービスを実行する実システムのシミュレートにも使われる。しかし、chroot はシステムコールを仮想化しないし、ブロックデバイスや仮想ファイルシステム(Linux の /proc や /sys)へのアクセスをブロックしないので、ハニーポットに捉われた攻撃者がハニーポットであることに気づく可能性はある。
制限
プログラムは一般に起動されたときに、一時ファイル、設定ファイル、スペシャルファイル、共有ライブラリなどが特定の位置(ディレクトリ)にあることを期待している。chroot されたプログラムがうまく起動するには、chroot したディレクトリにそれらのファイルが正しく配置されていなければならない。このため chroot を汎用のサンドボックス機構として使うのは難しい。
chroot を実行できるのはスーパーユーザーだけである。これは、精巧に作られたchroot監獄(例えば、ニセの /etc/passwd ファイルが置いてある)の中にユーザーが setuid プログラムを置けないようにするためである。またこのため、特権のないサンドボックス機構(例えば、一般ユーザーがインターネットからダウンロードした信頼できないアプリケーションをテストしてみるなど)としてchrootを使うこともできない。
chroot 機構は特権ユーザーによる意図的な改変に対する防御となることを意図していない。chroot されたスーパーユーザーのプロセスは特権を制限されない。多くのシステムでは chroot のコンテキストは正しくスタックされず、特権を持ったまま2回目のchrootをするとchrootから抜け出せる[1]。そのため、chroot したプログラムは特権を放棄してから処理を続行すべきである。
chroot 機構自体は、入出力、帯域幅、ディスク容量、CPU時間などのリソースを制限するわけではなく、これらを行うにはOSレベルの仮想化が必要。多くのUNIXは完全なファイルシステム指向ではないため、ネットワーキングやプロセス制御などは chroot されたプログラムからもシステムコール経由で利用可能である。
Solaris の Solaris Containers
Linux は cgroups, LXC, OpenVZ, Parallels Virtuozzo Containers, Linux-VServer, Linux FreeVPS におけるセキュリティコンテキスト
FreeBSD の FreeBSD jail
NetBSD および OpenBSD の sysjail
特筆すべき応用
メール転送エージェント Postfix は、ヘルパープログラムを個々に chroot してパイプライン化して使用する。
Debian と Ubuntu はパッケージのビルドにおいて chroot を多用し、パッケージ間の意図しない依存関係を洗い出す。SUSE でも同様の手法を build プログラム内で行う。
FTPサーバの多くは、信頼できないFTPクライアントのサンドボックス機構として chroot を使用する。コネクションに対応してプロセスをforkし、子プロセスを chroot する(起動時のプログラムに chroot しているコードを含めないようにするため、子プロセスで chroot させる)。
OpenSSHデーモンで特権分離をONに設定していると、各クライアントの認証前のトラフィックを処理する際に非特権ヘルパープロセスを空のディレクトリにchrootして実行させる。また、サンドボックスSFTPおよびシェルのセッションもchrootして実行する(version 4.9p1 以降)[2]。
Googleはアプリケーションをchroot内で動作させている[3]。親プロセスのrootパーティションの変更がアプリケーションの動作に影響を与えない。
fakechroot
関連項目
cgroups
脚注^ ⇒How to break out of a chroot() jail
^ “ ⇒sshd_config(5) manual page” (2008年4月5日). 2008年4月27日閲覧。
^ “ ⇒Live upgrading many thousand of servers from an ancient Red Hat distribution to a 10 year newer Debian based one.” (2013年). 2018年8月13日閲覧。
^ fakechroot/fakechroot - GitHub
参考文献
chroot(2) FreeBSD版システムコールのmanページ
chroot(2) Linux版システムコールのmanページ (JM Project)
chroot(8) FreeBSD版コマンドのmanページ(英語)
chroot(1L) GNU版コマンドのmanページ (JM Project)
chroot(1M) コマンド Solaris 10 Reference Manual Collection(英語)
chroot(1M) コマンド man page(HP-UX リファレンス)
表
話
編
歴
Unixコマンド
ファイルとファイルシステム管理
cat
chattr(英語版)
chmod