chroot 实践

最新推荐文章于 2025-04-26 19:31:46 发布
原创 最新推荐文章于 2025-04-26 19:31:46 发布 · 375 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#chroot

chroot - run command or interactive shell with special root directory
以制作一个只有 bash 和 ls 两条命令的隔离环境为例。实践环境 Aliyun ubuntu18.04

制作一个 chroot 隔离环境

创建一个 new root, 并切换到 jail 目录
  1. mkdir jail
  2. cd jail
在 jail 下创建 bin 目录

mkdir bin

复制 ls 和 bash 到 jail/bin

cp -v /bin/{bash,ls} ./bin

将 /bin/bash 和 /bin/ls 的依赖复制到 jail 对应的目录
  1. ldd /bin/bash
root@aliyun:bin# ldd /bin/bash
        linux-vdso.so.1 (0x00007ffd9b6b8000)
        libtinfo.so.5 => /lib/x86_64-linux-gnu/libtinfo.so.5 (0x00007feb160d5000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007feb15ed1000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007feb15ae0000)
        /lib64/ld-linux-x86-64.so.2 (0x00007feb16619000)

注意:
The “vDSO” (virtual dynamic shared object) is a small shared library that the kernel automatically maps into the address space of all user-space applications. Applications usually do not need to concern themselves with these details as the vDSO is most commonly called by the C library. This way you can code in the normal way using standard functions and the C library will take care of using any functionality that is available via the vDSO.
virtual shared object that is loaded intoevery Linux process by the kernel and is not an actual file on disk.

linux-vdso.so.1 是一个虚拟的共享库,用来将内核中的 部分系统调用映射到每一个 user application 的,从而调用这部分系统调用很类似函数调用。不用复制这个。其实也无法复制。😄

  1. 在 jail 这个 new root 目录下创建 lib/x86_64-linux-gnulib64 目录
    mkdir -p lib/x86_64-linux-gnu
    mkdir lib64
  2. 复制 /bin/bash 的依赖库
    cp /lib/x86_64-linux-gnu/libtinfo.so.5 .lib/x86_64-linux-gnu/
    cp /lib/x86_64-linux-gnu/libdl.so.2 .lib/x86_64-linux-gnu/
    cp /lib/x86_64-linux-gnu/libc.so.6 .lib/x86_64-linux-gnu/
    cp /lib64/ld-linux-x86-64.so.2 .lib64
  3. 复制 /bin/ls 的依赖库
root@aliyun:bin# ldd /bin/ls
        linux-vdso.so.1 (0x00007ffe6f32b000)
        libselinux.so.1 => /lib/x86_64-linux-gnu/libselinux.so.1 (0x00007ff1e7296000)
        libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007ff1e6ea5000)
        libpcre.so.3 => /lib/x86_64-linux-gnu/libpcre.so.3 (0x00007ff1e6c33000)
        libdl.so.2 => /lib/x86_64-linux-gnu/libdl.so.2 (0x00007ff1e6a2f000)
        /lib64/ld-linux-x86-64.so.2 (0x00007ff1e76e0000)
        libpthread.so.0 => /lib/x86_64-linux-gnu/libpthread.so.0 (0x00007ff1e6810000)

cp /lib/x86_64-linux-gnu/libselinux.so.1 ./lib/x86_64-linux-gnu/
cp /lib/x86_64-linux-gnu/libpcre.so.3 ./lib/x86_64-linux-gnu/
cp /lib/x86_64-linux-gnu/libpthread.so.0 ./lib/x86_64-linux-gnu/

jail 这个 new root 构建完毕

在这里插入图片描述

执行 chroot jail /bin/bash

在这里插入图片描述
如上图所示,chroot jail /bin/bash 进入了构建的隔离环境。执行 ls 可以查看文件。因为只构建了 bash 和 ls 两条命令,其余的命令无法执行。

chroot 是啥?

通过上面的实践 chroot 一个基本功能就是可以切换到一个隔离的环境,与宿主机进行隔离。不错,这其实也就是 docker 的功能。只不过 docker 功能更强大。

Reference

  1. vdso
  2. chroot examples
  3. chroot-vitualization
  4. system-call-chroot
通过chroot实现Linux子系统
HsOjo的博客
04-15 2825
版权声明:本文为博主原创文章,转载请注明出处。 前言 在一些精简的Linux发行版里,很多时候会有无法运行需要某些依赖的程序的情况。 然而,会搭载这种精简系统的设备,一般无法重新安装系统;例如:路由器、手机等其他嵌入式设备。 而且受限于系统内核(缺少cgroup的一些高级特性等),也无法安装docker。 同时,在不同的Linux发行版下,使用的C语言标准库也不尽相同;如:glibc、musl等。 即使CPU支持程序所使用的指令集,使用glibc所编译的程序,也无法在musl环境下运行。(使.
Linux中chroot的使用.pdf
09-07
今天,我们将详细介绍 Linux 中 chroot 的使用,包括其原理、应用场景和实践步骤。 首先,让我们了解一下 chroot 命令的原理。chroot 命令的作用是将当前的根目录改变为指定的目录,以限制某些进程或用户的访问权限...
chroot函数使用_PHP chroot()函数与示例
cumudi0723的博客
07-26 353
chroot函数使用 PHP chroot()函数 (PHP chroot() function) The full form of chroot is "Change Root", the function chroot()" is used to change the root directory, and, also changes the current working directory...
ftpd chroot的实现
hit_fantasy的专栏
01-07 2394
首先安装pure-ftpd: Sudo apt-getinstall pure-ftpd 配置过程: fantasy@hp:~$ suroot 密码: root@hp:/home/fantasy#groupadd ftpgroup groupadd:“ftpgroup”组已存在 root@hp:/home/fantasy#useradd -g ftpgroup -d /home/f
chroot详解
weixin_34126215的博客
06-08 329
我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境?   在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过chro...
Linux之实战命令32:chroot应用实例(六十六)
Android系统攻城狮
10-10 949
本篇目的:Linux之实战命令32:chroot应用实例chroot是一个在 Linux 和类 Unix 系统中用于改变当前进程根目录的命令行工具。它允许用户将指定的目录设置为新的根目录,从而限制进程的文件系统访问范围。这种技术在许多场景中都有重要应用,特别是在提高安全性、创建测试环境以及管理系统服务等方面。
PHP-FPM Chroot执行环境配置详解
"PHP-FPM之Chroot执行环境详解" ...其他安全措施,如严格的文件权限、防火墙规则和安全的代码实践,同样重要。此外,由于Chroot环境的复杂性,错误配置可能会导致服务无法正常运行,因此在部署前务必进行充分测试。
chroot环境怎么传文件
最新发布
05-14
同时提醒用户注意安全,避免不必要的目录可写,遵循chroot最佳实践。在chroot环境下传输文件需要结合系统级操作和权限管理,以下是具体方法和注意事项: ### 一、主要传输方法 1. **挂载绑定目录(推荐)** ```...
Linux chroot命令详解及应用实例
资源摘要信息:"chroot 是 Linux 系统中一个极为重要的命令,全称为 change root,意为“更改根目录”。...掌握 chroot 的原理与实践方法,对于系统管理员、安全工程师和开发人员而言,都是不可或缺的核心技能之一。
Ansible角色实现SSH chroot监狱环境配置
本Ansible角色“ansible-role-ssh-chroot-jail”的设计充分体现了现代IT运维自动化与安全合规的最佳实践。首先,它利用Ansible的声明式语法(YAML格式)定义了完整的配置流程,包括但不限于:创建必要的系统用户和...
Linux之Chroot
Mr_-G,一名勤奋底层软件开发工程师的博客
04-26 1137
在软件开发中,常需测试程序在不同系统环境(如不同发行版、不同库版本)中的兼容性。在 Linux 中,每个进程都有一个「根目录」概念,默认指向系统真实根目录。Chroot(Change Root)最早出现在 1982 年的 BSD 系统中,其核心是通过。:Chroot 通过修改进程的文件系统视角,实现「文件系统级虚拟化」,但。默认 Chroot 环境共享宿主机网络,若需独立 DNS,可修改。:避免因系统无法启动而重装,直接在隔离环境中操作真实文件系统。Chroot 环境要正常运行,必须包含目标系统所需的。
理解 chroot
yarsen的专栏
04-11 2376
什么是 chroot chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 图 1. Linux 系统的目录结构 回页首 为何使用 chroot 在经过 chro
chroot 启动linux脚本,自用chroot-system脚本
weixin_34643336的博客
05-01 680
用于在livecd中切换到已经挂载好的根文件系统去执行修复操作。使用方法(请根据你的磁盘实际情况修改sdx1和sdx2):#切换到rootsudo-i#挂载EFI分区(重要,之前未进行)mount/dev/sdx1/boot/efi#挂载根文件系统mount/dev/sdx2/mnt#进入根文件系统chroot-system/mnt#挂载系统需要的其他分区mount-a#...
如何在CentOS上搭建chroot环境
redwingz的博客
05-08 4989
chroot环境可以用来在一个完整的大文件系统上运行另外一个虚拟的文件系统。可使用它来实现许多功能,比如生成虚拟共享主机账号。每个用户的账号与一个chroot环境一一对应,用户可使用此chroot内安装的Linux发行版的整个文件系统,但是不能触及外层的大文件系统。(译者使用chroot调试程序^_^)。使用Red Hat和CentOS系统的安装包管理器yum,非常容易创建一个chroot环境。步...
【Shell 命令集合 系统设置 】Linux 创建一个与主系统分离的独立的运行环境 chroot命令 使用指南
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
06-28 2595
chroot命令是Linux系统中的一个工具,用于创建一个与主系统分离的独立的运行环境。它可以改变当前的根目录,将进程限制在指定的目录下运行,使其以为这个目录是文件系统的根目录。
ant部署详解
阿义的专栏
07-23 1784
【Java】Ant关于ant的配置环境变量是首先必须的 首先到 http://ant.apache.org/bindownload.cgi这里去下载ant的压缩包,上面有linux和windows专用的,我这里下的是windows系统下用的.把下在的压缩包解压放在任意目录下然后配
在Ubuntu下用jailkit建立一个受限Shell
真理部
01-02 988
Jailkit和jailed Shell 受限shell(Jailed Shell)是一类被限制的shell,它看起来非常像真实的Shell,但是它不允许查看和修改真实的文件系统的任何部分。Shell内的文件系统不同于底层的文件系统。这种功能是通过chroot和其他多种程序实现的。举例来说,给用户建立一个linux shell去让他“玩玩”,或者在一个限定的环境里运行一些程序的所有功能
linux chroot shell,linux – chroot失败 – 无法运行命令`/ bin / bash’:没有这样的文件或目录...
weixin_42458282的博客
05-13 1909
我是一个chroot新手试图做一个简单的chroot监狱但我一次又一次地对着同样的问题敲我的头……任何帮助都将受到大力赞赏我创建了一个目录/usr/chroot,我想用它作为jail并在其下创建子目录并将/ bin / bash的依赖项复制到其中:[root@WIG001-001 ~]# cd /usr/chroot/[root@WIG001-001 chroot]# ls[root@WIG001...
/chroot环境搭建 - 定制的小型文件系统
zs15yy的专栏
11-14 4377
转自:http://4585258.blog.51cto.com/4575258/1285734/ 服务器为 RedHat5.5   root用户操作: 1. 部署目录环境 创建一个目录,目录结构与实际的/目录结构类似 创建用户 useradd ppp passwd ppp 将chroot目录设置在/chroot下 mk
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值