Diferença entre chroot e prisão

Eu li este tutorial - https://help.ubuntu.com/community/BasicChroot - e o que eu entendi é que chroot é o processo de alterar /enquanto o novo ambiente restrito criado é a "prisão". Mas algumas pessoas dizem que eu estou errado e chroot e cadeias são duas coisas completamente diferentes.

Alguém pode realmente me explicar a diferença em termos simples?

O termo Jail vem do mundo FreeBSD e refere-se a uma maneira mais estrita de limitar o acesso do usuário ao sistema, apesar de existir chroot no FreeBSD como um mecanismo separado. É algo como (classificado pelo nível de separação):

Chroot <Virtualização em nível de SO: (Cadeia do FreeBSD ≤ Linux OpenVZ) <Paravirtualização: XEN

A resposta curta é "Vocês dois estão corretos" -

A chroot'ed ambiente é muitas vezes chamado de 'jaula'. Basicamente, restringe a exibição de um conjunto de processos para que eles pensem que o diretório especificado é a raiz do sistema de arquivos.

Isso não deve ser confundido com a jailfuncionalidade do FreeBSD , que é um chroot em esteróides (com muitas funcionalidades adicionais que fornecem mais isolamento do que um simples chroot).

Por uma questão de clareza, é melhor referir-se a chrootambientes ed como "ambiente chroot" (ou use a frase completa "cadeia chroot") para distingui-los - especialmente quando se trata de um sistema FreeBSD.

Eu diria que "prisão" é um termo geral, enquanto "chroot" não é. O chroot é apenas uma das várias possibilidades para limitar os acessos de um processo. Eu nunca ouvi falar de "prisão" em outro contexto. Você pode usar o AppArmor, SELinux e similares para obter resultados semelhantes, mas "prisão do AppArmor" parece ser um termo incomum. Por outro lado, a segurança não é a única razão para usar o chroot. Embora o efeito possa ser o mesmo, pode fazer pouco sentido falar de uma "prisão chroot" em certas situações em que o objetivo não é a segurança, mas uma configuração especial para um determinado processo.

"chroot" diz "Inicie a raiz do sistema de arquivos aqui" e tem aplicativos além de uma "prisão", por exemplo, acessar / reparar um SO quebrado de um LiveCD; também é "a maneira de fazer uma prisão no Linux".