chroot

chrootとは、UNIX オペレーティングシステム (OS) において、現在のプロセスとその子プロセス群に対してルートディレクトリを変更する操作である。ルートディレクトリを別のディレクトリに変更されたプロセスは、その範囲外のファイルにはアクセスできなくなるため、この操作をchroot監獄や模擬ルートなどとも呼ぶ。"chroot" は chroot(2) システムコールおよび chroot(8) コマンドを意味する。

chroot システムコールは、Unix Version 7 (1979) に新機能として加えられ、1982年 3月18日（4.2BSDリリースの17ヶ月前）、ビル・ジョイがインストールおよびビルドシステムのテスト用にBSDに導入したのが起源である。

用途

chroot はOSの仮想化され分離されたコピーを作るのに使われる。これには、以下のような用途がある。

テストと開発: 実際に使用中のシステムで評価するには危険と思われる開発中ソフトウェアのテスト環境構築に chroot を使う。
依存関係制御: ソフトウェアの開発において、ビルドに最低限必要なものだけを用意した環境に chroot して実施することもできる。これにより、意図しないライブラリがリンクされてしまうのを防ぐことができる。
互換性: 古いソフトウェアや異なるABIを使っているソフトウェアは、場合によっては chroot した環境で実行する必要がある。これは例えば、動的リンクされるライブラリが同じ名前で異なる内容を必要とされる場合があるためである（名前空間の衝突の回避）。
復旧: ブートできなくなったシステムの復旧において、別のブート媒体（Live CD など）で立ち上げておいて、ダメージのある環境に chroot することがある。UNIXのインストールでも、最初はインストール媒体で立ち上げておいて、最小限インストールした時点で chroot でディスクをルートディレクトリとすることもある。
権限不要の仮想化(一部の限定的なシステム): 仮想化のためには通常、rootが必要だがrootが取れない場合などに利用される。主にAndroidアプリのUserLandやtermuxはこの技術を採用している。
特権分離: chroot されたプロセスのオープンしているファイル記述子（ファイル、パイプ、ネットワーク接続など）はそのまま保持されるので、chroot したディレクトリ内に作業用ファイルを残す必要がなく、chroot監獄の設計が簡略化される。これを応用して、特権プログラムの脆弱性のある部分だけを chroot して実行することで不正なファイルアクセスを防ぐことができる。しかし、chroot したとしてもシステムコールができなくなるわけでもなく、ブロックデバイスへのアクセスを拒否するわけでもないため、特権を得た攻撃者にはあまり効果がない。
ハニーポット: chroot はネットワークサービスを実行する実システムのシミュレートにも使われる。しかし、chroot はシステムコールを仮想化しないし、ブロックデバイスや仮想ファイルシステム（Linux の /proc や /sys）へのアクセスをブロックしないので、ハニーポットに捉われた攻撃者がハニーポットであることに気づく可能性はある。

制限

プログラムは一般に起動されたときに、一時ファイル、設定ファイル、スペシャルファイル、共有ライブラリなどが特定の位置（ディレクトリ）にあることを期待している。chroot されたプログラムがうまく起動するには、chroot したディレクトリにそれらのファイルが正しく配置されていなければならない。このため chroot を汎用のサンドボックス機構として使うのは難しい。
chroot を実行できるのはスーパーユーザーだけである。これは、精巧に作られたchroot監獄（例えば、ニセの /etc/passwd ファイルが置いてある）の中にユーザーが setuid プログラムを置けないようにするためである。またこのため、特権のないサンドボックス機構（例えば、一般ユーザーがインターネットからダウンロードした信頼できないアプリケーションをテストしてみるなど）としてchrootを使うこともできない。
chroot 機構は特権ユーザーによる意図的な改変に対する防御となることを意図していない。chroot されたスーパーユーザーのプロセスは特権を制限されない。多くのシステムでは chroot のコンテキストは正しくスタックされず、特権を持ったまま2回目のchrootをするとchrootから抜け出せる^[1]。そのため、chroot したプログラムは特権を放棄してから処理を続行すべきである。
chroot 機構自体は、入出力、帯域幅、ディスク容量、CPU時間などのリソースを制限するわけではなく、これらを行うにはOSレベルの仮想化が必要。多くのUNIXは完全なファイルシステム指向ではないため、ネットワーキングやプロセス制御などは chroot されたプログラムからもシステムコール経由で利用可能である。

一部のUNIXはこれらの制限の一部に対処した拡張を用意している（OSレベルの仮想化と呼ばれる）。

Solaris の Solaris Containers
Linux は cgroups, LXC, OpenVZ, Parallels Virtuozzo Containers, Linux-VServer, Linux FreeVPS におけるセキュリティコンテキスト
FreeBSD の FreeBSD jail
NetBSD および OpenBSD の sysjail

特筆すべき応用

メール転送エージェント Postfix は、ヘルパープログラムを個々に chroot してパイプライン化して使用する。
Debian と Ubuntu はパッケージのビルドにおいて chroot を多用し、パッケージ間の意図しない依存関係を洗い出す。SUSE でも同様の手法を build プログラム内で行う。
FTPサーバの多くは、信頼できないFTPクライアントのサンドボックス機構として chroot を使用する。コネクションに対応してプロセスをforkし、子プロセスを chroot する（起動時のプログラムに chroot しているコードを含めないようにするため、子プロセスで chroot させる）。
OpenSSHデーモンで特権分離をONに設定していると、各クライアントの認証前のトラフィックを処理する際に非特権ヘルパープロセスを空のディレクトリにchrootして実行させる。また、サンドボックスSFTPおよびシェルのセッションもchrootして実行する（version 4.9p1 以降）^[2]。
Googleはアプリケーションをchroot内で動作させている^[3]。親プロセスのrootパーティションの変更がアプリケーションの動作に影響を与えない。

fakechroot

chroot は root 権限が必要だが、LD_PRELOAD を使い、open() などにフックをかけて root 権限なしで chroot と同等のことを行う fakechroot がある^[4]。

脚注

^ How to break out of a chroot() jail
^ “sshd_config(5) manual page” (2008年4月5日). 2008年4月27日閲覧。
^ “Live upgrading many thousand of servers from an ancient Red Hat distribution to a 10 year newer Debian based one.” (2013年). 2018年8月13日閲覧。
^ fakechroot/fakechroot - GitHub

参考文献

chroot(2) FreeBSD版システムコールのmanページ
chroot(2) Linux版システムコールのmanページ (JM Project)
chroot(8) FreeBSD版コマンドのmanページ（英語）
chroot(1L) GNU版コマンドのmanページ (JM Project)
chroot(1M) コマンド Solaris 10 Reference Manual Collection（英語）
chroot(1M) コマンド man page（HP-UX リファレンス）

[1] How to break out of a chroot() jail

[2] “sshd_config(5) manual page” (2008年4月5日). 2008年4月27日閲覧。

[3] “Live upgrading many thousand of servers from an ancient Red Hat distribution to a 10 year newer Debian based one.” (2013年). 2018年8月13日閲覧。

[4] root/fakechroot - GitHub

[1]

[2]

[3]

[4]

表話編歴 Unix コマンド
ファイルとファイルシステム管理	cat chattr（英語版） chmod chown chgrp cksum cmp cp dd du df（英語版） file fsck fuser（英語版） ln ls lsof mkdir mount mv pax pwd rm rmdir size split tee touch type（英語版） umask（英語版）
プロセス管理	at bg chroot cron fg kill killall nice pgrep pidof pkill ps pstree（英語版） reboot shutdown time top
ユーザ管理/環境	clear env exit finger history（英語版） id logname（英語版） mesg passwd su sudo uptime talk tput（英語版） uname w wall who whoami write
テキスト処理	awk banner basename comm（英語版） csplit（英語版） cut diff dirname ed ex（英語版） fmt fold（英語版） head iconv join（英語版） less m4 more nkf nl paste（英語版） patch printf（英語版） read（英語版） sed sort spell（英語版） strings tail tr troff uniq vi wc xargs yes
シェルビルトイン	alias cd echo test（英語版） unset wait
通信	dig host（英語版） ifconfig inetd ip (iproute2) netcat netstat nslookup ping rdate（英語版） rlogin route ssh traceroute
検索	find grep locate（英語版） whatis（英語版） whereis（英語版）
マニュアル	apropos（英語版） help（英語版） man
ソフトウェア開発	ar ctags lex make nm strip（英語版） yacc
その他	bc dc cal date expr false lp（英語版） lpr od sl sleep stty true tty
Category:UNIXのソフトウェア UNIXユーティリティの一覧

用途

制限

特筆すべき応用

fakechroot

関連項目

脚注

参考文献