Features/ChrootedServices
chroot
В ALT Linux существенная часть сервисов помещена в chroot, зачастую с пониженными правами (поскольку root в chroot -- вовсе не гарантия, что он оттуда не выберется). Даже libresolv выполняется в чруте. Это может быть неудобным в том плане, что пути сдвигаются (например, my.cnf живёт в /var/lib/mysql, добавляется сложностей с подключением дополнительных модулей или библиотек в "песочнице" -- как-то к перловых Postgres или авторизационных к Postfix)... но обратная сторона медали в том, что если один из таких сервисов окажется проломанным, то в распоряжении атакующего будет гораздо меньше средств и привилегий для захвата всей системы.
При этом пакет chrooted обеспечивает использование жестких ссылкок в случае, когда оригинальные файлы (конфигурация, библиотеки, бинарники) и "песочница" находятся в пределах одной файловой системы; впрочем, жесткие ссылки менее безопасны, чем физические копии.
Следует отметить такие неочевидности:
- после изменения /etc/resolv.conf или /etc/hosts необходимо выполнить команду update_chrooted conf (также отрабатывает при загрузке), чтобы обновить копии этих файлов в "песочницах"; без этого возможны проблемы вида "ping не работает"
- монтирование /var с noexec также может привести к проблемам с работой зачрученых сервисов