/chroot环境搭建 - 定制的小型文件系统

最新推荐文章于 2025-05-27 17:00:22 发布
最新推荐文章于 2025-05-27 17:00:22 发布
阅读量4.3k 收藏 4
点赞数 2
本文介绍如何在 RedHat 5.5 上为特定用户配置 SSH Chroot 环境,包括创建目录结构、复制必要文件、配置 PAM 模块及调试过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

转自:http://4585258.blog.51cto.com/4575258/1285734/

服务器 RedHat5.5  


root用户操作:

1. 部署目录环境

创建一个目录,目录结构与实际的/目录结构类似

创建用户

useradd ppp

passwd ppp


chroot目录设置在/chroot

mkdir -p /chroot/{etc,dev,proc,lib,bin,home,usr}

mkdir -p /chroot/usr/{bin,lib,libexec}

mkdir -p /chroot/home/ppp


拷贝/etc/passwd文件

cp -a /etc/passwd/ chroot/etc/passwd 然后删除里面的无关用户。

拷贝需要的命令例如

cp -a /bin/bash /chroot/bin/

查看bash命令需要哪些.so文件,拷贝到相应的目录中

[root@localhost ~]# ldd /bin/bash

       linux-gate.so.1 =>  (0x003a6000)

       libtermcap.so.2 => /lib/libtermcap.so.2 (0x004b7000)

       libdl.so.2 => /lib/libdl.so.2 (0x004b1000)

       libc.so.6 => /lib/i686/nosegneg/libc.so.6 (0x00110000)

       /lib/ld-linux.so.2 (0x0031f000)


拷贝动态库文件

cp -a /lib/{libtermcap.so.2,libdl.so.2,ld-linux.so.2}  /chroot/lib

cp -a /lib/i686/nosegneg/libc.so.6  /chroot/lib/


拷贝完成后,ls -l,会发现拷贝的都是软链接文件

1.# ll

2.total 0

3.lrwxrwxrwx. 1 root root 10 Feb 6 13:58 ld-linux.so.2 -> ld-2.12.so

4.lrwxrwxrwx. 1 root root 12 Feb 6 13:58 libc.so.6 -> libc-2.12.so

5.lrwxrwxrwx. 1 root root 13 Feb 6 13:58 libdl.so.2 -> libdl-2.12.so

6.lrwxrwxrwx. 1 root root 15 Jan 16 22:36 libtinfo.so.5 -> libtinfo.so.5.7


拷贝原始文件

cp -a /lib/{ld-2.12.so,libc-2.12.so,libdl-2.12.so,libtinfo.so.5.7} /chroot/lib


拷贝用户下的信息

cp -a /home/ppp/* /chroot/home/ppp/


简单测试一下,看看chroot命令是否可以用该目录当作/环境。

chroot /chroot

没有错误信息即可,正常应显示bash的信息。


2. ssh设置

cat /etc/ssh/sshd_config | grep UsePAM

确保

UsePAM yes

默认为yes

3. pam验证增加chroot模块

/etc/pam.d/sshd

在最下面添加一行:

session required pam_chroot.so

一定要确保输入正确,否则可能造成ssh无法登录.


pam_chroot.so 执行后会读取配置文件以决定是否使用chroot环境。

/etc/security/chroot.conf

[root@localhost security]# cat chroot.conf

# /etc/security/chroot.conf

# format:

# username_regex        chroot_dir

#matthew                /home

增加下面一行

ppp                     /chroot


4. 调试ssh服务

测试:

ssh ppp@192.168.13.136

登录失败,打开/var/log/secure日志查看:

Aug 19 07:08:52 localhost sshd[9993]: pam_env(sshd:setcred): Unable to open config     file: /etc/security/pam_env.conf: No such file or directory

  Aug 19 07:08:52 localhost sshd[9978]: error: openpty: No such file or directory

  Aug 19 07:08:52 localhost sshd[9993]: error: session_pty_req: session 0 alloc failed


cp -a /etc/security /chroot/etc/

chroot准备dev环境,准备pts环境以及准备proc环境

mount --bind /dev /chroot/dev

mount -t devpts -o pid=5,mode=620 devpts /chroot/dev/pts

mount -t proc /proc /chroot/proc/


再次登录测试:

ssh ppp@192.168.13.136

Aug 2007:08:52 localhost sshd[21426]: pam_env(sshd:setcred): Unable to open env file:        /etc/environment: No such file or directory

Aug 2007:08:52 localhost sshd[21390]: error: ssh_selinux_setup_pty: security_compute_relabel: No such file or directory


cp -a /etc/environment /chroot/etc/


重新测试:

ssh ppp@192.168.13.136

ppp@192.168.13.136's password:

-bash-3.5$


OK,可以正常登录了。


5. 环境设置

最简单的就是不设置环境,使用bash版本号作为提示符。

或者也可以按正常的用户一样设置提示符,需要做的操作比较多。

cp -a /etc/{profile,profile.d,bashrc}  /chroot/etc/

ssh ppp@192.168.13.136

ppp@192.168.13.136's password:

-bash: id: command not found

-bash: id: command not found

-bash: uname: command not found

-bash: /bin/grep: No such file or directory

-bash: /bin/grep: No such file or directory

-bash: /bin/grep: No such file or directory

-bash: /usr/bin/id: No such file or directory

-bash: [: =: unary operator expected


#whereis id

id: /usr/bin/id /usr/share/man/man1p/id.1p.gz /usr/share/man/man1/id.1.gz

cp -a /usr/bin/id /chroot/usr/bin/

cp -a /bin/grep  /chroot/bin/

cp -a /bin/uname  /chroot/bin/


#  ldd /chroot/usr/bin/id

       linux-vdso.so.1 =>  (0x00007fff4cba1000)

       libselinux.so.1 => /lib/libselinux.so.1 (0x0000003690200000)

       libc.so.6 => /lib/libc.so.6 (0x000000368e600000)

       libdl.so.2 => /lib/libdl.so.2 (0x000000368ea00000)

       /lib/ld-linux.so.2 (0x000000368e200000)

按上面的方法解决即可。


如果SSH登录不能上传下载文件的话,有可能是sftp的问题

[root@localhost ssh]# cat sshd_config | tail -1

Subsystem       sftp    /usr/libexec/openssh/sftp-server


可能是sftp-server没有加载

cp -a /usr/libexec/openssh/sftp-server /chroot/usr/libexec/openssh/sftp-server


然后在/chroot/home/ppp/目录下修改.bashrc文件

再最前面加一行

[ -z "$PS1" ] && return
或者:
[$-!=*i*]&&return

. .bashrc  执行加载


ssh登录即可上传下载文件。


补充:

1)在我的环境中,执行到第4步ssh连接时报错:

pam_unix(sshd:session): session closed for user root

解决办法:

vi /etc/ssh/sshd_config

修改如下内容:

#PermitRootLogin NO

PermitRootLogin yes

2)使用ssh上传文件失败

第一次执行失败是因为方括号两侧未留空格,正确写法:[ $-!=*i* ] && return

[root@localhost zhangs]# . .bashrc 
-bash: [himBH!=*i*]: command not found
[root@localhost zhangs]# vi .bashrc 
[root@localhost zhangs]# . .bashrc 
[root@localhost zhangs]#


centos7中配置

http://www.myhack58.com/Article/sort099/sort0102/2017/86571.htm


minions_222
关注
5、搭建 Linux 多功能服务器及 DNS 服务器指南
cherry的博客
07-23 15
本博客详细介绍了如何在Linux系统搭建多功能服务器及DNS服务器,涵盖Apache配置、FTP服务添加、Web统计信息生成、系统时钟同步、SpamAssassin所需Perl模块安装等内容。深入讲解了DNS基础知识、BIND组件及区域文件配置,并提供DNS测试与维护方法,帮助读者全面掌握Linux服务器及DNS服务器的搭建与管理。
为开发板定制Debian或Ubuntu系统
qq_30952829的博客
08-14 2349
为开发板定制Debian或Ubuntu小系统,并进行验证
通过chroot实现Linux子系统
HsOjo的博客
04-15 2752
版权声明:本文为博主原创文章,转载请注明出处。 前言 在一些精简的Linux发行版里,很多时候会有无法运行需要某些依赖的程序的情况。 然而,会搭载这种精简系统的设备,一般无法重新安装系统;例如:路由器、手机等其他嵌入式设备。 而且受限于系统内核(缺少cgroup的一些高级特性等),也无法安装docker。 同时,在不同的Linux发行版下,使用的C语言标准库也不尽相同;如:glibc、musl等。 即使CPU支持程序所使用的指令集,使用glibc所编译的程序,也无法在musl环境下运行。(使.
LittleFS 小型文件系统(一)
最新发布
2403_83439703的博客
05-27 1064
小型文件系统littleFS 适用于MCU
chroot环境的快速构建
weixin_33888907的博客
12-22 339
在配置linux服务器安全时,我们有时需要将一些服务放到chroot环境中运行。但共享库的依赖关系往往使管理员望而却步。我们可以通过一段shell脚本,帮助我们解决共享库的依赖关系,使chroot环境的配置变得迅速和简单。我 们以构建bash的chroot环境为例子,当却少相应的共享库依赖关系时,chroot命令会报“cannot run command `/bin/ba...
创建chroot环境
01-06 605
<br />.
OpenHarmony(鸿蒙南向开发)——小型系统内核(LiteOS-A)【扩展组件】下
鸿蒙开发知识记录
09-22 1261
容器(Container)提供了一种资源隔离的解决方案。系统中许多资源是全局管理的。例如进程PID、主机信息、用户信息等,容器机制是对这种全局资源的隔离,使得处于不同容器的进程拥有独立的全局系统资源,改变一个容器中的系统资源只会影响当前容器里的进程,对其他容器中的进程没有影响。LiteOS-A内核容器隔离功能包含7个容器:UTS容器、PID容器、Mount容器、Network容器、TIME容器、IPC容器、User容器。通过所在进程ProcessCB的Container和Credentials保存。
基于Linux的服务器搭建
weixin_52067148的博客
09-19 9889
Linux操作系统搭建服务器,Linux是一套免费使用和自由传播的类Unix操作系统,是一个基于POSIX的多用户、多任务、支持多线程和多CPU的操作系统。伴随着互联网的发展,Linux得到了来自全世界软件爱好者、组织、公司的支持。它在服务器方面保持着强劲的发展势头,在目前,由于信息越来越发达,人们对服务器的要求越来越高,服务器的好坏对用户直接产生影响,而Linux就是目前在网络上最受欢迎的操作系统,而且 Linux操作系统在安全稳定方面是很好的,所以在未来的网络发展中,构建基于Linux的网络服务平台是很
cpp-Tinyftpd是用C语言实现的简单快速高效的LinuxFTP服务器
08-16
首先, Tinyftpd的C语言实现意味着它的执行效率高,占用系统资源少,适合于各种大小的服务器环境。C语言是一种底层编程语言,能够直接操作硬件资源,因此用C编写的程序通常运行速度更快,更稳定。 其次,Tinyftpd的...
Linux FTP的搭建
12-26
在Linux系统搭建FTP服务,能够有效地满足企业或个人对于文件共享的需求。本文将详细介绍如何在Linux环境下安装并配置一个支持多用户的FTP服务器。 #### 二、安装VSFTPD VSFTPD是一款非常安全且功能强大的FTP...
使用chroot定制系统
IT8343的博客
05-09 1449
使用chroot定制系统
centos构建chroot环境
weixin_34239169的博客
11-08 411
说明:chroot--changeroot(改变角色),例如apache服务,这个服务是直接安装到了根目录下面的所以当ps后看进程信息的时候后面的路径是以系统的“根”开始找的。如果想搭建起来这个chroot环境,需要工具--jail.tar.gz,jail(监狱)也就是把自己想让服务更安全,那么就把服务扔到监狱中去运行,******了也只能在监狱中控制,不能跳出监狱进...
chroot构建ubunt文件系统 在rk1808 imx6q上测试过
u013921164的博客
11-19 1084
chroot构建ubunt文件系统 在rk1808 imx6q上测试过
在ramdisk中chroot真正引导真正的文件系统
u013740748的专栏
09-12 1084
目的:与android烧boot.img一致,用ramdisk引导真正的文件系统
通过chroot构建Linux操作系统(转)
08-12 382
通过chroot构建Linux操作系统(转)[@more@]转贴:出处:天极网在已有的Linux操作系统中,安装另一个开源操作系统,我们一般是先构建新操作系统chroot基础环境,然后chroot进入新构建的操作系统环境来安装...
记录使用chroot构建交叉编译系统【2】
u011781073的博客
02-01 939
经过几天的折腾,在Manjaro下使用chroot成功构建了正点原子的imx6ull开发板编译环境,全志D1s麻雀开发板的buildroot构建环境(韦东山老师的那个),运行良好。 chroot构建相比虚拟机构建的好处主要有 1.速度更快,直接用的本机内核。 2.没有烦人的依赖关系,一个chroot镜像只为一个构建环境工作。 3.使用方便,不用像docker那样专门学命令,只需要一句sudo chroot xxx就行,而且是用的本机文件系统,更加方便,编译完成直接mv/cp出来或者建立符号链接就行。
linux如何切换到设备,Linux chroot使用介绍和挂载之前系统的设备文件方法
weixin_31082779的博客
05-13 1383
chroot是什么chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。Linux 系统的目录结构为什么使用chroot在经过 chroot 之后,系统读取到的目录和文件将不在是旧系统根下的而是新根...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值