使用chroot

最新推荐文章于 2024-04-18 06:30:00 发布
最新推荐文章于 2024-04-18 06:30:00 发布
阅读量840 收藏 1
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CaspianSea/article/details/41340127
版权

chroot是一个比较有用的命令,它可以构造一个相对封闭的环境(sandbox),在这个封闭系统里运行命令而不必担心会对原有系统造成影响。

Linux/Unix系统里的每个命令或者进程,都有一个 当前的运行目录 (current working directory, i.e., root directory), 这个目录可以使用  chroot来改变。

chroot改变的目录后,在这个目录下面运行的进程无法不能访问 root directory 之外的文件。

下面以一个例子说明。

1. 创建目录 /home/charles/tmp/jail

这个目录将会作为一个封闭的测试环境。

2.在测试目录下创建子目录:

$ mkdir -v -p {bin,lib/i386-linux-gnu}
mkdir: created directory ‘bin’
mkdir: created directory ‘lib’
mkdir: created directory ‘lib/i386-linux-gnu’

把  /bin/bash 和 /bin/ls 拷贝到测试目录: 

~/tmp/jail$ cp -v /bin/{bash,ls} ~/tmp/jail/bin/
‘/bin/bash’ -> ‘/home/charles/tmp/jail/bin/bash’
‘/bin/ls’ -> ‘/home/charles/tmp/jail/bin/ls’
3. 查看 ls 用到的共享库: 

ldd /bin/bash
	linux-gate.so.1 =>  (0xb771c000)
	libtinfo.so.5 => /lib/i386-linux-gnu/libtinfo.so.5 (0xb76d8000)
	libdl.so.2 => /lib/i386-linux-gnu/libdl.so.2 (0xb76d3000)
	libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb7522000)
	/lib/ld-linux.so.2 (0xb771d000)

 ldd /bin/bash
	linux-gate.so.1 =>  (0xb7772000)
	libtinfo.so.5 => /lib/i386-linux-gnu/libtinfo.so.5 (0xb772e000)
	libdl.so.2 => /lib/i386-linux-gnu/libdl.so.2 (0xb7729000)
	libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb7578000)
	/lib/ld-linux.so.2 (0xb7773000)

把用到的共享库拷贝到对应的测试目录: 

$ cp -v /lib/i386-linux-gnu/libtinfo.so.5 /lib/i386-linux-gnu/libdl.so.2  /lib/i386-linux-gnu/libc.so.6 ~/tmp/jail/lib/i386-linux-gnu/
‘/lib/i386-linux-gnu/libtinfo.so.5’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libtinfo.so.5’
‘/lib/i386-linux-gnu/libdl.so.2’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libdl.so.2’
‘/lib/i386-linux-gnu/libc.so.6’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libc.so.6’

$ cp -v /lib/ld-linux.so.2 ~/tmp/jail/lib/
‘/lib/ld-linux.so.2’ -> ‘/home/charles/tmp/jail/lib/ld-linux.so.2’

然后再用 ldd对测试目录下的  ls 和 bash确认一下: 

~/tmp/jail/bin$ ldd ./ls
	linux-gate.so.1 =>  (0xb7791000)
	libselinux.so.1 => /lib/i386-linux-gnu/libselinux.so.1 (0xb774b000)
	libacl.so.1 => /lib/i386-linux-gnu/libacl.so.1 (0xb7742000)
	libc.so.6 => /lib/i386-linux-gnu/libc.so.6 (0xb7591000)
	libpcre.so.3 => /lib/i386-linux-gnu/libpcre.so.3 (0xb7553000)
	libdl.so.2 => /lib/i386-linux-gnu/libdl.so.2 (0xb754e000)
	/lib/ld-linux.so.2 (0xb7792000)
	libattr.so.1 => /lib/i386-linux-gnu/libattr.so.1 (0xb7548000)
把落下的几个库文件拷过去: 

~$ cp -v -f  /lib/i386-linux-gnu/libselinux.so.1 /lib/i386-linux-gnu/libpcre.so.3  /lib/i386-linux-gnu/libacl.so.1 /lib/i386-linux-gnu/libattr.so.1 ~/tmp/jail/lib/i386-linux-gnu/
‘/lib/i386-linux-gnu/libselinux.so.1’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libselinux.so.1’
‘/lib/i386-linux-gnu/libpcre.so.3’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libpcre.so.3’
‘/lib/i386-linux-gnu/libacl.so.1’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libacl.so.1’
‘/lib/i386-linux-gnu/libattr.so.1’ -> ‘/home/charles/tmp/jail/lib/i386-linux-gnu/libattr.so.1’

4. 使用 chroot进入测试目录:

~$ sudo chroot /home/charles/tmp/jail/ /bin/bash
bash-4.3# 

:~$ sudo chroot /home/charles/tmp/jail/ /bin/bashbash-4.3# ls
bin  lib
bash-4.3# pwd
/

参考:
http://www.cyberciti.biz/faq/unix-linux-chroot-command-examples-usage-syntax/

CaspianSea
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DNS chroot功能以及内外网解析
weixin_42171644的博客
01-26 1846
DNS题目一、IspSrv1、安装dns服务2、默认文件解析3、定义解析域4、配置为DNS根域服务器启用 chroot 功能,限制 bind9 在/var/named 下运行启用chroot从Buster开始,debian默认开启apparmor,所以需要添加权限重新加载apparmor配置文件对于debian 10 Buster,要启用chroot还需要/usr/share/dns下的文件最后告诉rsyslog在正确位置监听绑定日志5、测试二、AppSrv安装dns服务内外网解析: 题目 服务器 Is
让交叉编译就像本机编译一样简单:Scratchbox2的使用
11-09 1970
在bb板上交叉编译的时候经常会出现configure或pkg-config所找的包是host上的,就算编译通过了也实在不能放心。 试了下Scratchbox2没想到那么简单,相见恨晚^_^ 简明步骤: sudo apt-get install debootstrap scratchbox2 cd rootfs sudo debootstrap --verbose --arch armel
[转]通过Chroot机制让服务器安全到底
heiyeluren的blog(黑夜路人的开源世界)
05-16 6373
所谓"监牢"就是指通过chroot机制来更改某个进程所能看到的根目录,即将某进程限制在指定目录中,保证该进程只能对该目录及其子目录的文件有所动作,从而保证整个服务器的安全。 创建chroot"监牢" 以前,Unix/Linux上的daemon都是以root权限启动的。当时,这似乎是一件理所当然的事情,因为像Apache这样的服务器软件需要绑定到"众所周知"的端口上(小于1024)来监听HT
chroot的用法
weixin_33932129的博客
07-03 502
chroot命令用来在指定的根目录下运行指令。chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以/,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为/位置。 在经过 chroot 之后,系统读取到的目录和文件将不在是旧系统根下的而是新根下(即被指定的新的位置)的目录...
[转]chroot使用
weixin_30443731的博客
04-02 187
chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。实例:用live CD ubuntu假设你的linux安装在sda1sudo mount /dev/sda1 /mnt/...
每天学习一个Linux命令之chroot
最新发布
俞兆鹏的博客
04-18 1210
chroot是一个用于在Linux系统中更改根目录的命令。它可以将当前的根目录更改为指定的目录,使得在该目录中运行的程序以及它们的子进程无法访问真正的根目录。这种隔离的环境可以用于安全性或测试目的。
Chroot相关
寻找自我,挑战自我!
11-25 3890
Chroot相关 一:定义 chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 二:背景 以前,Unix/Linux上的daemon都是以root权限启动的。当时,这似乎是一件理所当然的
使用chroot监狱限制SSH用户访问指定目录.docx
10-31
使用 chroot 监狱限制 SSH 用户访问指定目录 本文档将向您展示如何使用 chroot 监狱限制 SSH 用户访问指定目录。在 Linux 系统中,chroot 监狱是一种限制用户访问的机制,可以将用户会话限制在特定的目录内,以提高...
chroot环境怎么重启linux,如何在ubuntu16.04使用chroot创建独立系统环境
weixin_35615475的博客
05-04 794
Chroot可以将你的应用从计算机将中隔离,通过把它们放在独立的环境中。如果您正在测试可能会更改重要系统文件或不安全的应用程序,使用chroot创建测试环境是一个非常好的选择,不过对于现在的技术来说最好的方式应该是Docker在此教程中解释了有关使用chroot的基本概念,并提供了启动和运行基本chroot的说明在查看本教程时你必须具备管理员的权限以及如何使用sudo和其它一些常用基本命令基本概念...
解决termux Android 10无法使用termux-chroot命令
01-06
这几天心血来潮去玩termux,结果最难受的是突然发现termux-chroot命令无法使用,经过在茫茫网络中的搜索,终于在GitHub上找到了解决方案。 参考这个问题,大佬们的答案 https://github.com/termux/proot/issues/87 ...
如何通过chroot构建Linux操作系统
08-01
在已有的Linux操作系统中,安装另一个开源操作系统,我们一般是先构建新操作系统的chroot基础环境,然后chroot进入新构建的操作系统环境来安装和配置。这种构建和安装操作系统的方法,对于我们学习和研究操作系统结构和原理应该说比较重要。本文举了简单的例子,以Fedora Core 5.0 为基础,通过chroot来构建Slackware 10.2;
Linux中chroot使用.pdf
09-07
"Linux中chroot使用" Linux 操作系统中,chroot 是一个非常重要的命令,用于改变当前的根目录,以限制某些进程或用户的访问权限。今天,我们将详细介绍 Linux 中 chroot使用,包括其原理、应用场景和实践步骤...
怎么使用 chroot 环境来限制用户的访问权限
06-10
使用 chroot 环境来限制用户的访问权限,您可以按照以下步骤进行操作: 1. 创建一个新的目录,该目录将成为 chroot 环境的根目录。例如,您可以创建一个名为 /var/chroot 的目录作为根目录。 2. 将所有必需的...
chroot
lizhifeng2009的专栏
05-09 565
chroot用于改变根目录,用处有很多,比如测试安装程序、调试程序等等。由于是以指定的路径为根目录,一些命令不会真正的伤害到系统。 改变根目录之后,环境变量的不变,但是注意这个时候所以变量指定的路径都是以指定的目录为根目录。如/bin路径已经不是系统真正的路径,而是指定目录下的bin。这样运行shell就不会成功,解决办法是把实际根目录下的bin目录copy到指定目录,同时还要copy一
chroot详解
weixin_34126215的博客
06-08 236
我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境?   在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过chro...
chroot 命令实例讲解
dielucui7698的博客
02-03 359
我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境? 在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过...
利用chroot构建linux沙盒
guan0005的博客
08-03 6943
利用chroot构建linux沙盒 操作系统:centos 6.6 一、创建沙盒的运行环境 (1)创建沙箱根目录,即受限用户登陆时的根目录,可随意指定 mkdir /home/chroot (2)拷贝及创建受限用户运行所需的目录及文件。proc目录为非必需。 cp /bin /home/chroot/ -rf cp /lib /home/chroot/ -rf cp /lib64 /h...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值