]> git.kaiwu.me - haproxy.git/commit
MEDIUM: startup: warn when chroot is not set for root
authorWilly Tarreau <w@1wt.eu>
Wed, 20 May 2026 09:30:32 +0000 (11:30 +0200)
committerWilly Tarreau <w@1wt.eu>
Wed, 20 May 2026 09:51:45 +0000 (11:51 +0200)
commitb9acb4415f36a109523e3af4925dfa3589d376ed
tree77d32c8f24579e0ff41a6a1ce5ceac11d7fd48a1
parent3c35e7f137092eb3be7da35e6291a60102b56bc0
MEDIUM: startup: warn when chroot is not set for root

We're still regularly seeing insecure configs where chroot is missing.
Now that we have "chroot auto", there's no excuse for not knowing where
to chroot, so let's detect that we're starting as root, detect that the
process is allowed to chroot (i.e. no capability issue, or some hardened
containers), and if no chroot is set, let's emit a warning explaining how
to silence it, i.e. either "chroot auto" or "chroot /".

Most likely we'll start using "chroot auto" by default in 3.5 if no
usability issue is reported.
doc/configuration.txt
src/haproxy.c