schrootのSudoer(Debian)

schrootのSudoer(Debian)

schroot.confこれは私が使用する一般的な設定です。

[label]
description=whatever
type=directory
personality=linux
preserve-environment=true
directory=/wherever
users=UserForSchrootOnly
profile=desktop_no_tmp

指示はありませんroot-users
ホストの/ homeを使用せずにschroot envの別のホームディレクトリ。

UserForSchrootOnlyホストオペレーティングシステムのユーザーを使用してこれらのschroot環境にログインします。私は通常このユーザーを/etc/sudoers.d/someConfファイルに追加します。~へシュルート、一行で、

UserForSchrootOnly ALL=(ALL:ALL) ALL

この設定の目的の1つは、schrootを介して、他の目的の代わりにOSユーザーのみを使用して完全に隔離された環境(監査タイプの目的のための厳密な分離ではなく実際に動作する環境)を持つことです。一方、実用的な理由から、schroot環境では、この専用ユーザーもsudoerにする方がはるかに簡単です。
1つのユースケースは、信頼できないクローズドソースアプリケーションを実行することです。

私の興味は、ユーザーがschroot環境でsudoer
なので、UserForSchrootOnlyホストシステムのセキュリティを損なう可能性がありますか? schroot環境でsudo特権の昇格を使用してschroot外部コンテンツまたはUserForSchrootOnlyホストシステムのホームディレクトリにアクセスする方法はありますか?

schroot.confのマニュアルページでは、chrootへのルートアクセスが重大なリスクであると言われています。ユーザーの誤った行動については心配しません。私の懸念は、実行中のsudoerユーザーを利用する信頼できないクローズドソースアプリケーションにあります。


firejailこれはこのようなサンドボックスの理想的なシナリオのようですが、これを使用して一部のアプリケーションを実行することはできず、パラメータを追加しても使用できないことを指摘したいと思います--no-profile。他のシナリオには更新されたライブラリが必要なアプリケーションが含まれているため、信頼できない内部アプリケーションを実行するには、DebianテストまたはUbuntu schroot envを設定する必要があります。

関連情報