#include <unistd.h> int chroot(const char *chemin);
Exigences de macros de test de fonctionnalités pour la glibc (consulter feature_test_macros(7)) :
chroot() :
Depuis la glibc 2.2.2 : _XOPEN_SOURCE && ! (_POSIX_C_SOURCE >= 200112L) || /* Depuis la glibc 2.20 : */ _DEFAULT_SOURCE || /* glibc <= 2.19 : */ _BSD_SOURCE Avant la glibc 2.2.2 : none
Seul un processus privilégié (sous Linux : un processus ayant la capacité CAP_SYS_CHROOT dans son espace de noms d'utilisateur) peut appeler chroot().
Cet appel modifie un élément du processus de résolution des chemins et ne fait rien d'autre. En particulier, ce n'est pas conçu pour être utilisé à des fins de sécurité, ou pour enfermer totalement un processus ou restreindre les appels système du système de fichiers. Autrefois, chroot() était utilisé par des démons pour se restreindre avant de passer des chemins fournis par des utilisateurs non fiables à des appels système tels qu'open(2). Toutefois, si un dossier est déplacé en dehors du nouveau répertoire racine, un attaquant peut l'exploiter pour sortir lui aussi du nouveau répertoire racine. La manière la plus facile de le faire est de chdir(2) vers le répertoire à déplacer, d'attendre qu'il soit déplacé et d'ouvrir un chemin comme ../../../etc/passwd.
Une variante légèrement plus délicate fonctionne aussi dans certaines circonstances si chdir(2) n'a pas les droits. Si un démon permet de spécifier un « chroot directory » (nouveau répertoire racine), cela veut souvent dire que si vous voulez empêcher des utilisateurs distants d'accéder à des fichiers à l'extérieur du nouveau répertoire racine, vous devez vous assurer que les dossiers n'en sortent jamais.
Notez que cet appel système ne modifie pas le répertoire de travail, aussi « . » peut se retrouver en dehors de l'arbre dont la racine est « / ». En particulier, le superutilisateur peut s'évader d'un « piège chroot » en faisant :
mkdir foo; chroot foo; cd ..
Cet appel ne ferme aucun descripteur de fichier, et de tels descripteurs peuvent permettre un accès à des fichiers hors de l'arbre dont la racine est le nouveau « / ».
Le lien symbolique magique, /proc/[pid]/root, peut être utilisé pour trouver le répertoire racine d'un processus ; voir proc(5) pour des détails.
FreeBSD a un appel système jail() plus solide.
Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.
Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à