teoria-chroot: (0.02)
	Como funciona una jaula "chroot" para un demonio servidor

PARA QUE:
Cuando un demonio se ejecuta como "root" y es accesible desde internet puede
 ser utilizado para conseguir acceso "root" a tu sistema cuando se le encuentra
 una vulnerabilidad (y alguien escribe un exploit facil de usar)

Esto no es infrecuente, la vulnerabilidad mas explotada en internet esta en
 named (servidor DNS).

La idea es conseguir que aunque se pueda explotar una vulnerabilidad no se
 pueda conseguir acceso "root" ni acceso a nuestro sistema de archivos que
 permita localizar otro programa vulnerable para conseguir acceso "root"


COMO FUNCIONA:
Una jaula "chroot" es basicamente desplazar el punto de "/" al demonio al que
 se le aplica a por ejemplo /chroot/demonio/* esto quiere decir que el demonio
 verá /chroot/demonio/etc/config como /etc/config y no podrá acceder a nada
 fuera de /chroot/demonio/* (y el intruso tampoco :-)

Obviamente hay que copiar *TODOS* los archivos que necesita el demonio al
 directorio /chroot/demonio incluidos /etc, /usr/bin, /var, /tmp


ESENCIAL:
Lo esencial para impedir que el intruso salga de la jaula chroot es:
- no copiar ningún archivo suid root a la jaula
- que el usuario y grupo con que corre el demonio no sean root
- que el usuario y grupo con que corre el demonio no se usen para nada mas


MAS INFO:
man chroot
Chroot-BIND-HOWTO (En tu distribución o en http://www.linuxdoc.org)