มีหน้าต่างที่เทียบเท่ากับ chroot หรือไม่?

24

ในระบบ * nix ฉันสามารถใช้chrootเพื่อแยกสองกระบวนการออกจากกันและจากส่วนที่เหลือของระบบ มีระบบรักษาความปลอดภัยที่คล้ายกันใน windows หรือไม่? หรือมีวิธีป้องกันสองกระบวนการจากการอ่าน / เขียนไปยังไฟล์อื่น ๆ หรือไม่

windows  windows-server-2008  security  chroot 
โกง
แหล่งที่มา
1
ฉันไม่แน่ใจว่ารับประกันแท็กความปลอดภัยที่นี่ kerneltrap.org/Linux/Abusing_chroot
MDMarra
1
@ The Rook - ในการสนทนา kerneltrap เคอร์เนล devs พูดคุยเกี่ยวกับความจริงที่ว่า chroot ไม่เคยตั้งใจจะเป็นอุปกรณ์รักษาความปลอดภัย /
MDMarra
1
@ The Rook - ถูกต้องฉันแค่บอกว่าคุณอาจต้องการใช้ถ้อยคำใหม่อีกครั้ง มีการขยาย chroot หรือสปินในแนวคิด (เช่นคุก) ที่ได้รับการออกแบบโดยคำนึงถึงความปลอดภัย ในโพสต์ของคุณคุณอ้างถึง chroot เป็นอุปกรณ์รักษาความปลอดภัยซึ่งมันไม่เคยตั้งใจจะเป็น
MDMarra
1
@ นาธานอดัมส์ฉันเห็นด้วย แต่ "ความปลอดภัยในเลเยอร์"
โกง
1
ดูเหมือนว่าฉันถามสิ่งที่คล้ายกันอย่างเป็นธรรมที่นี่ คุณเคยจัดการตั้งค่านี้ใน Windows Server หรือไม่? คำตอบที่คุณตอบรับนั้นไม่ได้อธิบายถึงวิธีการทำเช่นนี้และไม่สามารถบอกได้ว่าเป็นไปไม่ได้ ...
RomanSt

คำตอบ:

5

ฉันไม่แน่ใจว่าคุณจะได้รับอะไรบน Windows โดยการ chrooting - คุณมีความต้องการที่เฉพาะเจาะจงหรือไม่?

ในกรณีใด ๆ ผลการชั้นนำใน google เป็นhttp://www.winquota.com/wj/

การจำลองเสมือนแอปพลิเคชันอาจเป็นตัวเลือกหรือไม่ Microsoft มีดังต่อไปนี้ที่จะพูดเกี่ยวกับมัน:

ในสภาพแวดล้อมทางกายภาพทุกแอปพลิเคชันขึ้นอยู่กับระบบปฏิบัติการของบริการต่างๆรวมถึงการจัดสรรหน่วยความจำไดรเวอร์อุปกรณ์และอื่น ๆ อีกมากมาย ความไม่เข้ากันระหว่างแอปพลิเคชันและระบบปฏิบัติการสามารถแก้ไขได้ด้วยการจำลองเสมือนเซิร์ฟเวอร์หรือการจำลองเสมือนการนำเสนอ แต่สำหรับความเข้ากันไม่ได้ระหว่างสองแอพพลิเคชั่นที่ติดตั้งบนอินสแตนซ์เดียวกันของระบบปฏิบัติการ

Jon Rhoades
แหล่งที่มา
5
หนึ่งในกระบวนการของฉันเขียนได้ไม่ดีและไม่ปลอดภัยมากฝ่ายจัดการไม่ต้องการแก้ไขเพราะจะ "แพงเกินไป" ฉันคาดหวังว่ากระบวนการนี้จะเป็นเจ้าของในที่สุดและฉันต้องการ จำกัด ผลกระทบต่อระบบของฉัน หากคุณเชื่อจริง ๆ ว่าไม่มีอะไรที่จะได้รับคุณต้องอ่านเพิ่มเติมเกี่ยวกับ chroots
โกง
1
@Rook เนื่องจากบน Windows คุณสามารถมีสิทธิ์การเข้าถึงที่หย่าจากโครงร่างระบบไฟล์ การตอบคำถามของคุณในส่วนความเห็นของคำตอบนี้เป็นวิธีที่คนส่วนใหญ่ใช้เพื่อป้องกันส่วนของระบบไฟล์จากกระบวนการที่ไม่ได้รับอนุญาตให้เข้าถึง เพียงให้ผู้ใช้กระบวนการเริ่มต้นภายใต้การเข้าถึงชุดย่อยของระบบไฟล์และบริการที่ต้องการ
ซาด Saeeduddin
@ Asad Saeeduddin การพูดถึงระบบไฟล์windowsไม่เพียงทำงานอัตโนมัติที่ไม่น่าไว้วางใจที่ปฏิบัติการบน USB sticks ได้หรือไม่? ปีนี้คืออะไร?
โกง
ฉันมีความต้องการเฉพาะไม่เกี่ยวข้องกับความปลอดภัย - โปรแกรมนี้ฉันคาดว่าจะดำเนินการในระบบแฟ้มรากของตัวเองและมันก็เป็นความพยายามอย่างมากที่จะย้ายพอร์ตเพื่อใช้ไดเรกทอรีปัจจุบันอย่างถูกต้อง โชคดีที่มันทำงานกับระบบไฟล์อย่างอิสระ - บน Windows มันจะแผ่ขยายไปทั่วรูทของไดรฟ์ที่ใช้งานอยู่ ถ้าฉันทำได้เพียง "นามแฝง" รูต dir ใน Windows ไปยังไดเรกทอรีย่อยบางอันมันจะสะอาดกว่าและง่ายกว่าในการติดตามดังนั้นจึงต้องการ chroot
คดีกองทุนของโมนิกา
7

Sandboxie http://www.sandboxie.com/

ไม่เหมือน chroot มันตั้งค่า sandbox สำหรับแต่ละโปรแกรมที่คุณระบุ สามารถแยกกระบวนการได้อย่างง่ายดาย

Jason Berg
แหล่งที่มา
2

ฉันจะไม่ใช้อะไรเช่นนี้คุณกำลังทำงานภายใต้คู่ Windows

NTFS มีสิทธิ์การเข้าถึงที่ละเอียดที่สุดที่คุณสามารถหาได้ มันไม่ยากเลยที่จะให้ prozess เริ่มต้นด้วยผู้ใช้ที่มีสิทธิ์ต่ำกว่าและให้สิทธิ์ผู้ใช้ในการเข้าถึงไฟล์ของแอปพลิเคชันเดียวนี้เท่านั้น

ไม่จำเป็นต้องใช้บางอย่างเช่น chroot ซึ่งไม่ใช่เครื่องมือรักษาความปลอดภัยเมื่อคุณสามารถกำหนดสิ่งที่ผู้ใช้ได้รับอนุญาตให้ทำในไดเรกทอรีใด

มันไม่ต่างไปกว่าการให้ Apache ภายใต้ Linux กับผู้ใช้ของตัวเองอนุญาตให้ทำงานในโฟลเดอร์ของเขาเท่านั้น

โอเค Dokey
แหล่งที่มา
2
นี่คือคำตอบที่ถูกต้องเกี่ยวกับสาเหตุที่ไม่จำเป็นต้องใช้ chroot
Jim B
@rook จากนั้นพวกเขาล้มเหลวในการติดตาม BPSAD และ PTH whitepapers เพื่อกำจัดการโจมตีตั๋วทอง เท่าที่ฉันรู้ว่ายังคงทำงานได้เฉพาะบนขอบถนน * ระวัง
Jim B
การจัดแบ่ง @Jim B อาจฟังดูแปลกปลอมในแพลตฟอร์มที่ให้สิทธิ์การดูแลระบบแก่เบราว์เซอร์ฐานข้อมูลและเว็บเซิร์ฟเวอร์เป็นประจำ อย่างไรก็ตามแซนด์บ็อกซ์เป็นมาตรการป้องกันเชิงลึกที่จำเป็นโดยไม่คำนึงถึงแพลตฟอร์ม
โกง
@rook ฉันคิดว่าคุณมีสิทธิ์สับสนกับการแยก windows แยกกระบวนการตามค่าเริ่มต้น กระบวนการสามารถเข้าถึง / รวมเข้ากับหรือส่งผลกระทบต่อกระบวนการอื่นหากได้รับอนุญาต
Jim B
@JimB ฉันไม่คิดว่า (ดังนั้นถ้าฉันเข้าใจผิดความคิดเห็นของคุณโดยสิ้นเชิง) ตัวอย่างเช่นการเริ่มต้นกระบวนการใน Windows 7 จะไม่ให้พรอมต์ความปลอดภัยและหลังจากนั้นกระบวนการสามารถอ่าน 90% ของไดรฟ์จัดเก็บข้อมูลของคุณโดยไม่ต้องถามกระบวนการใด ๆ เกี่ยวกับระบบ เฉพาะเมื่อมันพยายามที่จะแก้ไขให้พูดว่า "C: \ Program Files" จากนั้นระบบปฏิบัติการสามารถตบข้อมือของตนได้ แต่นั่นไม่ใช่ความปลอดภัย
dimitarvp
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.