Betriebssysteme // Kapitel 14: Security
Was ist 'chroot'?
Ein Mechanismus, der das Wurzelverzeichnis für einen Prozess ändert. Der Prozess ist in diesem Verzeichnis gefangen ('Jail') und sieht den Rest des Dateisystems nicht.
Unterscheide DAC (Discretionary Access Control) und MAC (Mandatory Access Control).
DAC: Der Besitzer einer Datei bestimmt die Rechte (z.B. Linux Standard-Rechte). MAC: Das System erzwingt Regeln, die selbst der Besitzer nicht ändern kann (z.B. SELinux: 'Webserver darf nie auf /home zugreifen').
Warum gilt 'chroot' nicht als sichere Isolationsmethode (im Vergleich zu VMs)?
Ein Prozess mit Root-Rechten kann aus einem chroot-Gefängnis ausbrechen (z.B. durch Erstellen neuer Geräteknoten oder verschachtelte chroots). Zudem teilt sich der Prozess weiterhin denselben Kernel und PID-Namespace mit dem Host.
Was ist der Kernunterschied zwischen DAC (Discretionary Access Control) und MAC (Mandatory Access Control)?
Bei DAC entscheidet der Besitzer einer Datei über die Rechte (z.B. `chmod`). Bei MAC entscheidet eine systemweite Policy (z.B. SELinux). Selbst wenn der Besitzer 'Alle dürfen lesen' setzt, kann MAC den Zugriff verbieten.