schroot의 Sudoer(Debian)

schroot의 Sudoer(Debian)

schroot.conf이것은 내가 사용하는 일반적인 구성입니다.

[label]
description=whatever
type=directory
personality=linux
preserve-environment=true
directory=/wherever
users=UserForSchrootOnly
profile=desktop_no_tmp

지침 이 없습니다 root-users.
호스트의 /home을 사용하지 않고 schroot env에 대한 별도의 홈 디렉터리입니다.

UserForSchrootOnly호스트 운영 체제의 사용자를 사용하여 이러한 schroot 환경에 로그인합니다 . 나는 보통 이 사용자를 /etc/sudoers.d/someConf파일 에 추가합니다.~에슈루트, 한 줄로,

UserForSchrootOnly ALL=(ALL:ALL) ALL

이 설정의 목표 중 하나는 schroot를 통해 그리고 다른 목적 대신 OS 사용자만 사용하여 완전히 격리된 환경(감사 유형 목적을 위한 엄격한 격리가 아니라 실제로 작동하는 환경)을 갖는 것입니다. 반면에 실용적인 이유로 schroot 환경에서는 이 전용 사용자도 sudoer로 만드는 것이 훨씬 쉽습니다.
한 가지 사용 사례는 신뢰할 수 없는 폐쇄 소스 애플리케이션을 실행하는 것입니다.

내 관심사는 사용자가 schroot 환경에서 sudoer
이므로 UserForSchrootOnly호스트 시스템의 보안을 손상시킬 수 있습니까? schroot 환경에서 sudo 권한 상승을 사용하여 schroot 외부 콘텐츠 또는 UserForSchrootOnly호스트 시스템의 홈 디렉터리에 액세스할 수 있는 방법이 있습니까?

schroot.conf의 매뉴얼 페이지에는 chroot에 대한 루트 액세스가 심각한 위험이라고 언급되어 있습니다. 사용자의 잘못된 행동에 대해서는 걱정하지 않습니다. 내 관심사는 실행되는 sudoer 사용자를 이용하는 신뢰할 수 없는 폐쇄 소스 애플리케이션에 있습니다.


firejail이것이 이와 같은 샌드박스에 대한 이상적인 시나리오인 것처럼 보이지만 이를 사용하여 일부 응용 프로그램을 실행할 수 없으며 매개 변수를 추가하더라도 사용할 수 없다는 점을 지적하고 싶습니다 --no-profile. 다른 시나리오에는 업데이트된 라이브러리가 필요한 애플리케이션이 포함되어 있으므로 신뢰할 수 없는 내부 애플리케이션을 실행하려면 Debian 테스트 또는 Ubuntu schroot env를 설정해야 합니다.

관련 정보