In un thread sulla mailing list linux-kernel, si è discusso duramente sull´utilizzo di chroot come sistema di sicurezza. Chroot, ricordiamo, permette di cambiare la radice del file system vista da un utente e spesso viene usato per chiudere un utente o un processo all´interno di una gabbia che contenga solo le informazioni e i comandi utili.
Solitamente viene usato quando si fornisce un account remoto FTP o SSH e si vuole evitare che l´utente si faccia un giro dove non dovrebbe neanche mettere il naso.
Quello che si rimprovera a chroot è la possibilità che un processo che giri come root possa uscire dalla gabbia. Per correggere questo comportamento è stata presentata una patch e proprio per questo Alan Cox ha voluto ricordare che chroot non è uno strumento di sicurezza ed è nato con ben altri scopi. Infatti chroot può essere usato solo dall´utente root, ed è pertanto normale che l´utente root, o un suo processo, possa modificare o uscire dal chrooted environment.
In pratica quella che viene additata come una falla è una normale funzione di chroot. Semmai, dice l´hacker Adrian Bunk:
incompetent people implementing security solutions are a real problem
il problema reale sono gli incompetenti che implementano delle soluzioni di sicurezza.
E voi, avete mai usato chroot in maniera incompetente?