Eine Chroot Umgebung in einer Chroot Umgebung?

[fstruwe]

Hi, ist das möglich?

Eine Chroot Umgebung in einer Chroot Umgebung?

Bye
Fabian

[captaincrunch]

Sofern du nicht spezielle Patches einsetzt, die das verhindern (GRSecurity z.B.) wüsste ich nicht, warum das nicht gehen sollte.

Den Sinn dahinter sehe ich allerdings genau so wenig ...

[fstruwe]

Der Sinn dahinter soll sein,

das bei einem Admintool jeder Reseller eine Umgebung bekommen soll, und jeder Kunde der zu einem Reseller gehört auch!

[crasline]

weils grad zum Thema passt .. was is ne chroot() umgebung? Der Support meinte mein Exklusivserver sei in so einer Umgebung und deswegen würde die load bei uptime nicht funktionieren .. hat da jemand ne antwort für?

[captaincrunch]

Eine chroot-Umgebung ist eine vom "realen" Rechner (mehr oder weniger) abgeschottete Umgebung. Realisiert wird das ganze, indem das /-Verzeichnis in ein bestimmtes Unterverzeichnis des Rechners "eingesperrt" wird. Prozesse, die in dieser Umgebung laufen, können ausschließlich Prozesse und Dateien sehen, die in dieser Umgebung laufen.

[crasline]

hmm ok danke .. aber das hat dann doch nicht wirklich etwas mit der loadavg bei uptime zutun, oder?

[captaincrunch]

Natürlich, da du ja durch das chroot nicht auf das reale /proc-Filesystem zugreifen kannst.

[majortermi]

Natürlich, da du ja durch das chroot nicht auf das reale /proc-Filesystem zugreifen kannst.

Doch, wenn es dort gemountet ist schon, i.d.R. wird aber zusätzlich GR-Security eingesetzt um das zu verhindern, sonst könntest du nämlich auch fremde Prozess-Informationen auslesen, was auf Systemen mit Benutzern, die sich einander nicht vertrauen, nicht sinnvoll ist.

[crasline]

hmm doch .. also ich kann auf /proc zugreifen, auch das verzeichnis auslesen und so files wie "uptime" öffnen .. aber das file "loadavg" hat die falschen Rechte und komm deswegen nicht hin .. ich kann auch mittels cd .. mein verzeichnis verlassen ..

[majortermi]

hmm doch .. also ich kann auf /proc zugreifen, auch das verzeichnis auslesen und so files wie "uptime" öffnen .. aber das file "loadavg" hat die falschen Rechte und komm deswegen nicht hin ..

Das sind eben die richtigen Rechte, da ja gerade verhindert werden soll, dass du das File ausliest. Ich meinte auch nicht das /proc generell gesperrt ist, sondern Prozessinformationen zu Prozessen, die einem nicht gehören (in /proc/<PID>).

ich kann auch mittels cd .. mein verzeichnis verlassen ..

Ja, aber du kommst nicht aus dem Chroot heraus, d.h. das "/", das du siehst, ist nicht das "echte" "/", das der Kernel kennt.
Für Details empfehle ich wieder einmal die einschlägige Literatur über System- und Kernelprogrammierung.

[captaincrunch]

aber das file "loadavg" hat die falschen Rechte und komm deswegen nicht hin ..

Wie sehen denn die Rechte aus ? /proc ist schließlich ein rein virtuelles Dateisystem, das einzig und alleine vom Kernel bereitgestellt wird.

[crasline]

Ja, aber du kommst nicht aus dem Chroot heraus, d.h. das "/", das du siehst, ist nicht das "echte" "/", das der Kernel kennt.
Für Details empfehle ich wieder einmal die einschlägige Literatur über System- und Kernelprogrammierung.

Doch ..

Code: Select all

p32313044@kundenserver:~ > cd ..
p32313044@kundenserver:/kunden/homepages/24/d15618322 >

Wie sehen denn die Rechte aus ? /proc ist schließlich ein rein virtuelles Dateisystem, das einzig und alleine vom Kernel bereitgestellt wird.

Code: Select all

-r--r-----    1 root     procgrou        0 Jan 22 17:29 loadavg

Und ich verstehs nicht bzw. sehs nicht ein, warum ich selbst die Auslastung meines eigenen Servers nicht sehen soll ...

[captaincrunch]

Doch ..

Code:
p32313044@kundenserver:~ > cd ..
p32313044@kundenserver:/kunden/homepages/24/d15618322 >

Und was soll das ganze aussagen ? Ein chroot bedeutet nicht, dass du nicht aus deinem Homeverzeichnis rauskommst, sondern, dass du ein eigenes /-Filesystem unterhalb des realen Servers hast, aus dem du nicht rauskommst.
Als Beispiel : das /home-Filesystem, in dem du dich befindest, liegt auf dem realen Server z.B. unter /home/chroot. Sobald du (im chroot) cd / eingibst, befindest du dich (in deiner chroot-Umgebung) im Root, reell gesehen, aber unter /home/chroot.

Was die Rechte angeht : Sieht mir schwer nach einem Security-Patch (wahrscheinlich GRSecurity) aus. Beim GRSecurity lassen sich bestimmte Zugriffe auf /proc auf eine bestimmte Group zuschneiden, was bei dir der Fall zu sein scheint.
Die Frage nach dem warum kann dir allerdings nur 1&1 beantworten ...

[crasline]

ah, jetzt ... *gg*

also danke :-)