Jak i czym chroot'ować na Debian 8

[Pineapple]

Cały czas piszę iż chroot jest słabszy, w takim razie czego używać do jailowania procesów na debianie? Jailkit czy coś innego?

Ja z niczego nie rezygnuję i niczego nie neguję, przyszedłem tutaj dowiedzieć się czym i jak odizolować potencjalnie niebezpieczny proces/service/skrypt od reszty systemu.

W chwili obecnej potrzebuję takiego zabezpieczenia dla bind9 i ts3. W pierwszym poście podałem link do proponowanego zabezpieczenia binda przez chrootowanie go z oficjalnej strony debiana, pytanie tylko czy to coś daje (jest bezpieczne) i nie trzeba nic więcej robić, może warto zrobić to inaczej?

[Yampress]

no super zabezpieczenie to nie jest.
Dodatkowo grsecurity z pax


Ewentualnie bez tego cherowania jeśli potrafisz sobie selinux skonfigurować lub rsbac

[Pineapple]

"cherowania" co to znaczy? co masz na myśli?

To że jądro trzeba nasterydować to wiem, nadal jednak nie wiem czym/jak wykonać jail/chroot.

A tak offtopem, grsecurity z paxem będzie się gryźć z selinuxem czy można zastosować wszystkie na raz?

[Yampress]

bez chrootowania

[grzesiek]

A tak offtopem, grsecurity z paxem będzie się gryźć z selinuxem czy można zastosować wszystkie na raz?

nie

[Yampress]

ale selinux + pax nie powinno się gryźć....

Miałem na myśli raczej nałożenie łaty grsecurity + pax bez selinuxa..
czyli albo jedno albo drugie = gr+pax lub se lub se+pax
żadnego dublowania zabezpieczeń co robią to samo w tym samym czasie

[zbig]

A nie lepiej zamiast chroota zastosować lxc https://wiki.debian.org/LXC