לא מומלץ chroot ואפשרות הרצת process מבחינת אבטחה - אם משיגים root (נגיד ע"י local privelege escalation exploit מסוג כלשהו - פעמיים שלוש בשנה מתגלה כזה), אפשר לצאת החוצה ממנו.
אם כל מה שאתה רוצה זה לאפשר להסתכל על מערכת הקבצים, עדיף לייצא אותה בצורה שמישה רלוונטית (smb, http, nfs, מה שלא יהיה) עם הרשאות קריאה בלבד, ולפנות אליה מסביבה שאינה בעייתית (virtual machine מינימליסטי, אולי docker/lxc/lxd - אם כי קח בחשבון שגם כאן היו ענייני אבטחה).
והכי טוב - לתת גישה להעתק שאתה שומר עליו מעודכן (עם rsync, zsync snapshot או בכל צורה אחרת שמוצאת חן בעיניך) - במקרה כזה, גם אם פרצו להעתק, אי אפשר להזיק למקור.
|