帶有 /dev 和 /proc 的 Chroot 風險

我計劃為一些使用者設置一些 chroot 監獄來執行/測試 Java 應用程序（假設每個應用程序都是不受信任的）。將 /dev 和 /proc 安裝到每個監獄中是否存在任何風險？如果有，可以採取哪些措施來消除這種風險？

公開/proc和/dev公開更多資訊，並授予監獄內的使用者更多權限。

請注意，監獄內外的 uid 和 gid 可能不同。例如，在監獄中，使用者“x”可能是組 123 的成員，該組在監獄中為“使用者”而在系統上為“磁碟”。通過 bind-mounting /dev，您將授予他們對原始磁碟設備的訪問權限，這將允許他們虛擬地訪問並擺脫監獄。

我不會綁定掛載/dev。僅在其中創建 java 應用程序可能需要的一些設備（null, tty, zero…），並具有適當的所有權和權限。

您是否考慮過 linux 容器而不是 chroot 監獄，這會更加隔離它們（lxcs 只是比 chroot 監獄更進一步）。

引用自：https://unix.stackexchange.com/questions/49982