chroot

chroot steht für change root und ist eine Funktion unter Unix-Systemen, um das Rootverzeichnis zu ändern. Sie wirkt sich nur auf den aktuellen Prozess und seine Kindprozesse aus. „chroot“ selbst kann sich sowohl auf den Systemaufruf chroot(2) als auch auf das Dienstprogramm chroot(8) beziehen.

Ein Programm, das auf ein Verzeichnis „gerootet“ wurde und keine offenen Dateideskriptoren im Bereich außerhalb des virtuellen Root-Verzeichnisses besitzt, kann (bei korrekter Implementierung des Betriebssystemkerns) nicht mehr auf Dateien außerhalb dieses Verzeichnisses zugreifen. chroot bietet somit eine einfache Möglichkeit, um nicht vertrauenswürdige, Test- oder sonst wie gefährliche Programme in eine Sandbox zu versetzen. Es ist ein einfacher Jail-Mechanismus, aus dem aber durchaus leicht wieder ausgebrochen werden kann.

chroot wurde nicht als Sicherheitsfeature entworfen, sondern primär für das Aufsetzen virtueller Umgebungen verwendet. Die erste größere bekannte Anwendung war in Network Software Engineering (NSE) auf SunOS im Jahr 1986. Dort war ein Verlassen der Umgebung mit fchroot(1) möglich und dokumentiert.

In der Praxis wird „Chrooting“ dadurch erschwert, dass Programme beim Start erwarten, Platz für temporäre Dateien, Konfigurationsdateien, Gerätedateien und Programmbibliotheken an bestimmten festen Orten vorzufinden. Um diese Programme innerhalb des chroot-Verzeichnisses laufen zu lassen, muss das Verzeichnis mit diesen notwendigen Dateien ausgestattet werden.

Sicherheitsfeature oder nicht?[Bearbeiten | Quelltext bearbeiten]

Ob chroot-Umgebungen ein Sicherheitsfeature sind, um einzelne Computerprogramme gegenüber dem Gesamtrechner abzuschotten, hängt stark von der Ansicht der Schöpfer des jeweiligen Betriebssystems ab:

Unix

• BSD-Systeme versuchen Prozesse der chroot(2)-Umgebung nicht herauszulassen, also einzusperren. Ein erstes Aufkommen eines weitgefassten Begriffs "jail" ("Gefängnis") in diesem Sinn ist seit 1991 mit Bezug auf die Unix-Distribution 4.3BSD belegt.^[1] Zum Beispiel ist eine Rechteausweitung aus chroot(8) heraus unter NetBSD sehr schwierig.^[2]
• Geschichtlich bieten BSD-Systeme seit dem Jahr 2000 Virtualisierung auf Betriebssystems-Ebene, bei der der Kernel von mehreren isolierten, rundum abgeschlossenen Einheiten ("user space" Instanzen, Umgebungen) benutzt wird. Vorreiter war die FreeBSD-Distribution, welche mit ihrer Version 4.0 (2000) das Unix-Kommando jail(8)^[3] bereitstellte, um Prozess-Umgebungen sicher voneinander abzuschotten.^[4] Hieraus folgte bis zum Jahr 2004 die Prägung des Begriffs "jailbreak".^[5]
• In Solaris wurde chroot vor Solaris 10 nicht als Sicherheitsfeature bezeichnet und deshalb auch kein Problem darin gesehen, wenn sich ein Programm aus dieser Umgebung „befreien“ kann. Das Ausbrechen ist sogar explizit dokumentiert. Um Prozesse gegeneinander abzuschotten, gibt es seit dem Jahr 2005 mit Solaris 10 das Konzept der Solaris Container (auch: Zonen), das auf chroot(2) aufbaut und als "chroot on steroids" bezeichnet wurde.^[6] In Solaris 10 und späteren Versionen wurden jedoch viele weitere Eigenschaften hinzugefügt und auch Dateisysteme (wie das proc-Filesystem) explizit gegen chroot gesichert.^[7]

Linux

• Auch unter Linux wird chroot nicht als Sicherheitsfeature bezeichnet. Wie der Benutzer root eine chroot-Umgebung verlassen kann, ist in der chroot(2)-Manpage dokumentiert.
• Ab dem Jahr 2008 können mithilfe der LinuX Container LXC virtuelle "user space" Umgebungen mit eigenen Prozessen erschaffen werden, die einen gemeinsamen Linux-Kernel nutzen.^[8][9] Auf LXC baut die GNU/Linux-Software Docker (2013) auf, die Anwendungen mithilfe von Betriebssystemvirtualisierung in Containern isoliert.^[10][11]

Einsatz[Bearbeiten | Quelltext bearbeiten]

Rechtetrennung

Ein chroot kann als Vorsorgemaßnahme gegen einen Sicherheitsbruch eingesetzt werden, indem es einen potentiellen Angreifer daran hindert, mit einem kompromittierten Programm Schaden anzurichten oder das System zu sondieren. Beispielsweise kann ein Dateiserver im Netzwerk das Verzeichnis, aus dem er einen Client bedient, direkt nach der Verbindungsaufnahme chrooten. Einen ähnlichen Ansatz verfolgt der Mail Transfer Agent Postfix, der seine Aufgabe auf mehrere kleine, hintereinander geschaltete Programme aufteilt, die jedes für sich in eigenen Chroots laufen. Ein guter Einsatz ist chroot auch für FTP-Server, damit FTP-User nicht aus ihrem „home“-Verzeichnis in ein anderes Verzeichnis wechseln können.

Honeypot

Ein chroot-Verzeichnis kann so bestückt werden, dass ein echtes System mit Netzwerkdiensten simuliert wird. Der chroot-Mechanismus kann dann Angreifer daran hindern, zu erkennen, dass sie sich in einer künstlichen Umgebung ("jail")^[1] befinden, oder in das echte System auszubrechen.

Testen

Die durch den chroot-Mechanismus erreichte Isolation ist auch zu Testzwecken nützlich. In ein solches Verzeichnis kann eine eigene Kopie des Betriebssystems installiert werden und als Testumgebung für Software dienen, deren Einsatz in einem Produktivsystem zu riskant wäre.

Reparatur

Um ein Linux-/Unix-System mit Hilfe einer Boot-CD zu reparieren, kann chroot genutzt werden, um auf dem eingemounteten System zu arbeiten. So kann beispielsweise ein vergessenes Root-Passwort wiederhergestellt werden.

Installation eines Betriebssystems

Die Installation einiger Linux-Distributionen ist nur über die Kommandozeile möglich. Deswegen ist es nötig, nach dem Entpacken des Distributionsarchives in eine neue Partition mit chroot die neue Systemumgebung zu betreten.^[12]

Nachteile[Bearbeiten | Quelltext bearbeiten]

Nur der Benutzer root kann chroot ausführen. Dies soll normale Benutzer davon abhalten, ein setuid-Programm innerhalb einer speziell angefertigten Chroot-Umgebung zu platzieren (z. B. mit einer falschen /etc/passwd Datei), welche es dazu bringen würde, Rechte zu vergeben. Es hindert jedoch auch Nicht-Root-Benutzer an der Verwendung des chroot-Mechanismus, um eine eigene Sandbox zu erstellen.

„schroot“ erlaubt Nutzern ein chroot, „openroot“ stellt viele erweiterte Funktionen zur Verfügung wie etwa X11 Forwarding für GUI-Programme.

Der chroot-Mechanismus selbst ist nicht gänzlich sicher. Wenn ein Programm in einer chroot-Umgebung Root-Rechte besitzt, kann es (unter Linux oder Solaris) eine verschachtelte chroot-Umgebung verwenden, um aus der ersten auszubrechen.^[13]

Da die meisten Unix-Systeme nicht komplett dateisystemorientiert sind, bleiben potenziell gefährliche Funktionalitäten wie die Kontrolle über Netzwerk und Prozesse durch Systemaufrufe einem gechrooteten Programm verfügbar.

Der chroot-Mechanismus selbst verhängt auch keine Einschränkungen über Ressourcen wie I/O-Bandbreite, Plattenplatz oder CPU-Zeit.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

• OpenVZ – Eine Virtualisierungslösung, die ähnlich wie chroot arbeitet, aber besser abschottet^[14]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Linux

• chroot(8): einen Befehl oder eine interaktive Shell mit einem speziellen Wurzelverzeichnis ausführen – Debian GNU/Linux Systemverwaltung Handbuchseite
• chroot(2): Wurzelverzeichnis wechseln – Debian GNU/Linux Systemaufrufe Handbuchseite
• xchroot: chroot für Benutzer von Xorg/X11 und aufs/unionfs

Unix

• jail(8): Management von System-Jails – FreeBSD Systemverwaltung Handbuchseite
• jail(2): Erzeugung und Management von System-Jails – FreeBSD Systemaufruf Handbuchseite
• chroot(8): Wurzelverzeichnis wechseln – OpenBSD System Manager's Manual – (Systemverwaltung)
• chroot(2): Wurzelverzeichnis wechseln – OpenBSD System Calls Manual – (Systemaufruf)

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b} Bill Cheswick: An Evening with Berferd: In Which a Cracker is Lured, Endured, and Studied. USENIX. In: The Association (Hrsg.): USENIX Summer Conference Proceedings. Vol. 1. San Francisco, California 1991, S. 163 (archive.org [PDF; 170 kB]). 
2. ↑ How to break out of a chroot environment – From NetBSD Wiki (Memento vom 10. Dezember 2008 im Internet Archive)
3. ↑ Die Nummer in Klammern hinter dem Namen des Unix-Kommandos folgt der Einteilung in sogenannte Manpage-Sections ("Bereiche"), diese sind: (1) Generelle Kommandos, (2) Systemaufrufe, (3) Subroutinen, (4) Spezialdateien, (5) Dateiformate, (6) Spiele, (7) Makros und Konventionen, (8) Wartungskommandos, (9) Kernelschnittstelle, (n) Neue Kommandos.
4. ↑ Matteo Riondato: FreeBSD Handbook Chapter 15 Jails. In: freebsd.org. The FreeBSD Project, abgerufen am 19. August 2014. 
5. ↑ Cyrus Peikar: Security Warrior. Hrsg.: O'Reilly Media. 2004, ISBN 0-596-55239-4, S. 304 (google.de [abgerufen am 19. August 2014]). 
6. ↑ Klaus Schmidt: High Availability and Disaster Recovery: Concepts, Design, Implementation. Hrsg.: Springer Science & Business Media. 2006, ISBN 3-540-34582-5, S. 186 (google.de [abgerufen am 21. August 2014]). 
7. ↑ vgl. dazu chroot(1m), chroot(2), fchroot(2) und gchroot(1); abgerufen am 10. April 2014
8. ↑ SourceForge LXC Download Files. In: sourceforge.net. Abgerufen am 21. August 2014. 
9. ↑ Rami Rosen: Linux Containers and the Future Cloud. (PDF) 26. März 2014, abgerufen am 21. August 2014. 
10. ↑ About Us | Docker. Docker Inc., archiviert vom Original (nicht mehr online verfügbar) am 18. Juli 2014; abgerufen am 6. September 2014. 
11. ↑ What is Docker and when to use it. CenturyLink Innovations Lab, archiviert vom Original (nicht mehr online verfügbar) am 10. September 2014; abgerufen am 9. September 2014. 
12. ↑ Installation des Gentoo Basissystems (Memento vom 22. Dezember 2014 im Internet Archive)
13. ↑ Simon's computing stuff – How to break out of a chroot() jail (Memento vom 27. Januar 2016 im Internet Archive)
14. ↑ xen vs openvz (Memento vom 17. April 2009 im Internet Archive)