14.2.4 chroot功能

最新推荐文章于 2025-04-26 19:31:46 发布
最新推荐文章于 2025-04-26 19:31:46 发布
阅读量979 收藏
点赞数 1
分类专栏: Linux服务器架设指南 文章标签: dns服务器 ftp服务器 服务器 服务器软件 linux 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Linuxdianc/article/details/5045594
版权
本文介绍了chroot的功能及其在DNS服务器中的应用。chroot通过限制进程的根目录来增强安全性,即使程序存在漏洞也不会危及整个系统。文章还详细解释了如何在Red Hat Enterprise Linux 5中安装和配置chroot。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

14.2.4  chroot功能

chrootChange Root的缩写,它可以将文件系统中某个特定的子目录作为进程的虚拟根目录,即改变进程所引用的“/”根目录位置。chroot对进程可以使用的系统资源、用户权限和所在目录进行严格控制,程序只在这个虚拟的根目录及其子目录具有权限,一旦离开该目录就没有任何权限了,所以也将chroot称为“jail监禁”。

%说明:Vsftpd服务器架设中,也有几个关于chroot的配置选项,可以把操作系统中的某一个目录(通常是该用户的主目录)作为用户的根目录,用户登录到FTP服务器时,看到的根目录并不是服务器上真正的根目录,而是其他目录。用户不能访问除这个目录以外的任何文件,即就是把用户监禁在某一目录中,用户的任何操作仅对这个目录有效,不会影响到系统和其他用户的文件。

早期Linux服务都是以root权限启动和运行的,随着技术的发展,各种服务变得越来越复杂,导致BUG和漏洞也越来越多。黑客利用服务的漏洞入侵系统,就能获得root级别的权限,从而可以控制整个系统。为了减缓这种攻击所带来的负面影响,现在的服务器软件通常设计成以root权限启动,然后服务器进程自行放弃root权限,再以某个低权限的系统账号来运行进程。这种方式的好处在于该服务被攻击者利用漏洞入侵时,由于进程权限比较低,攻击者得到的访问权限是基于这个较低权限的,因此对系统造成的危害比以前减轻了许多。

基于同样的道理,chroot的使用并不能说是让程序本身更安全了,它跟没有chroot的程序比较,依然有着同样多的bug和漏洞,依然会被攻击者利用这些bug和漏洞进行攻击并得逞。但由于程序本身的权限被严格限制了,因此攻击者无法造成更大的破坏,也无法夺取操作系统的最高权限。DNS服务器主要是用于域名解析,需要面对来自网络各个位置的大量访问,并且一般不限制来访者的IP,因此,存在的安全隐患和被攻击的可能性相当大,使用chroot功能也就特别地有意义了。

Red Hat Enterprise Linux 5下,chroot的安装包文件名为bind-chroot-9.3.3- 7.el5.i386.rpm,在第二张安装盘中。把安装文件复制到当前目录后,输入以下命令进行       安装。

 

# rpm  -ivh  bind-chroot-9.3.3-7.el5.i386.rpm

 

当成功安装chroot后,named的虚拟根目录变为/var/named/chroot,即以后运行named进程时,会把这个目录当作根目录。同时,这个虚拟根目录下还自动创建了devetc       var 3个目录,分别对应实际根目录下的同名目录。另外,安装chroot时,还会自动把实际根目录下的这3个目录中的配置文件都复制到虚拟根目录下对应的3个目录中,例如,/etc/named.conf会复制到/var/named/chroot/etc。因此,以后编辑named的配置文件时,要注意其存放的目录位置。

BIND包安装完后,会在/usr/sbin目录下出现bind-chroot-admin文件,这是一个与chroot有关的命令文件,利用它,可以禁用或启用chroot功能,也可以使虚拟根目录下的named配置文件与实际根目录下的named配置文件进行同步。其命令格式如下所示。

 

# bind-chroot-admin

Usage:

  -e | --enable:   enable the bind-chroot environment

  -d | --disable:  disable the bind-chroot environment

  -s | --sync:     sync files between the bind chroot and / environments,

                        so they are correct for the current state of the

                        bind-chroot

                       (enabled / disabled)

  $BIND_CHROOT_PREFIX, default /var/named/chroot, is the location of the

  chroot.

  $BIND_DIR, default /var/named, is the default un-chrooted bind directory.

 

bind-chroot-admin命令后加-e选项可以启用chroot功能,加-d选项禁用chroot功能,加-s选项同步配置文件。在实际工作中,最好要启用chroot功能,可以使服务器的安全性能得到提高,但在本章中,为了讲解和实验的方便,以及减少出错的可能性,禁用了chroot功能。

DNS chroot功能以及内外网解析
weixin_42171644的博客
01-26 1974
DNS题目一、IspSrv1、安装dns服务2、默认文件解析3、定义解析域4、配置为DNS根域服务器启用 chroot 功能,限制 bind9 在/var/named 下运行启用chroot从Buster开始,debian默认开启apparmor,所以需要添加权限重新加载apparmor配置文件对于debian 10 Buster,要启用chroot还需要/usr/share/dns下的文件最后告诉rsyslog在正确位置监听绑定日志5、测试二、AppSrv安装dns服务内外网解析: 题目 服务器 Is
Arch Linux&Linux引导教程 2021.7.22
stvsl的博客
07-19 4873
Arch Linux配置&Linux使用教程 文章目录Arch Linux配置&Linux使用教程1.简介2.安装前的准备——镜像烧录2.1 原Windows用户2.2Linux用户2.3 使用ventory实现烧录3.进入安装环境前的准备3.1 原windows用户3.2Linux用户3.3 不管你是什么用户4.开始安装过程4.1 确认当前的引导模式为UEFI4.2 连接网络4.3 确认网络连接状态4.4 禁用reflector4.5 进行时间同步4.6 更换国内镜像源4.7 分区
理解 chroot
yarsen的专栏
04-11 2302
什么是 chroot chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 图 1. Linux 系统的目录结构 回页首 为何使用 chroot 在经过 chro
LinuxChroot
最新发布
Mr_-G,一名勤奋底层软件开发工程师的博客
04-26 708
在软件开发中,常需测试程序在不同系统环境(如不同发行版、不同库版本)中的兼容性。在 Linux 中,每个进程都有一个「根目录」概念,默认指向系统真实根目录。Chroot(Change Root)最早出现在 1982 年的 BSD 系统中,其核心是通过。:Chroot 通过修改进程的文件系统视角,实现「文件系统级虚拟化」,但。默认 Chroot 环境共享宿主机网络,若需独立 DNS,可修改。:避免因系统无法启动而重装,直接在隔离环境中操作真实文件系统。Chroot 环境要正常运行,必须包含目标系统所需的。
chroot 的作用
kikilbs 的专栏
07-05 1162
chroot 就是 change root directory. 改变用户应用所执行的根目录的位置。
chroot软件包的作用
weixin_34321753的博客
07-03 267
chroot是changge root的缩写,它可以改变程序运行时所参考的“/”根目录位置,即将某个特定的子目录作为程序的虚拟“/”根目录。chroot对程序运行时可以使用的系统资源、用户权限和所在目录进行严格控制,程序只在这个虚拟目录具有权限,一旦跳出该目录就无任何权限。就像使用ftp一样,用户登录ftp后看到的拨那个不是服务器上真正的根目录,而是它的主目录。用户...
Linuxchroot命令的作用
qq_41681715的博客
12-26 435
chroot 命令,可以用它来简单的实现文件系统的隔离,但在一个容器技术繁荣的时代,用 chroot 来进行资源的隔离实在是有点太low 了,chroot 主要用途还是集中在系统救援、维护等一些特殊的场景中。 ...
LINUX操作系统(电子教案,参考答案)
07-11
14.2.4Linux上访问Windows 的共享资源 233 14.3 打印机网络共享 233 14.3.1 建立打印服务器 233 14.3.2 使用远程打印机 234 小结 234 习题十四 235 一、思考题 235 二、选择题 235 三、上机操作 235 第15章 电子...
DNS 和 BIND 详解
weixin_44983653的博客
07-31 3761
DNS 和 bind 详解DNSDNS 相关概念DNSFQDNTLDDNS 查询类型DNS名称解析方式域 和 主机DNS服务器类型一次完整的DNS查询请求经过的流程解析答案主-辅DNS服务器区域(zone)和域(domain)区域数据库文件资源记录资源记录的定义格式SOANSMXAAAAAPTRCNAME注意: DNS 两个主机之间的通信,其实就是进程之间的通信,进程之间的通信又是基于 sock...
chroot 的作用和它带来的好处
Thinkcortex的博客
12-18 511
https://www.ibm.com/developerworks/cn/linux/l-cn-chroot/
Debian配置dns启用Chroot
cc_pwd的博客
10-06 2640
#修改在/var/named下运行 vim /etc/default/bind9 OPTIONS="-u bind -t /var/named" system daemon-reload //守护进程重新加载 #启用chroot mkdir -p /var/named/{etc,dev,run/named,/var/cache/bind} //创建运行目录 mknod /var/named/dev/null c 1 3 mknod /var/named/dev/random c 1 8 mknod /
linux 命令分析之 chroot 的原理
龙瑜的博客
10-24 3518
chroot功能 chroot 可以用来切换当前进程的【根目录】,它能够将当前进程能够访问的目录树结构限制在某个子目录中,同时由于当前进程创建的子进程将会继承父进程的根目录结构,所以子进程也随之被限定。 chroot 命令的原理 通过 strace 来跟踪一次 chroot 命令执行过程来研究其代码执行过程。 这里我删除了与这个问题没有太大关系的一些输出,重要的系统调用信息如下: [root@localhost new_test]# strace chroot . sh execve("/usr/sbi
[转]linux系统创建SFTP用户及设置其chroot权限
Jinming Su
08-13 1200
转载自: https://blog.csdn.net/akeyile2010/article/details/50751834 前言: 开发项目客户要求与三方通过sftp交互文件,我方系统部署sftp服务器。考虑安全,计划对提供给三方的用户实现chroot控制 提供sftp本次选用的是系统自带的internal-sftp。 限制用户只能在home目录下活动,需要使用chroot...
使用chroot
小猪爱拱地
11-21 897
chroot是一个比较有用的命令,它可以构造一个相对封闭的环境(sandbox),在这个封闭系统里运行命令而不必担心会对原有系统造成影响。 Linux/Unix系统里的每个命令或者进程,都有一个 当前的运行目录 (current working directory, i.e., root directory), 这个目录可以使用  chroot来改变。 chroot改变的目录后,在这个目录下面
chroot 进入根文件系统不能上网
weixin_40723768的博客
10-19 377
制作根文件系统,chroot命令
chroot的用法
weixin_33932129的博客
07-03 565
chroot命令用来在指定的根目录下运行指令。chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以/,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为/位置。 在经过 chroot 之后,系统读取到的目录和文件将不在是旧系统根下的而是新根下(即被指定的新的位置)的目录...
Chroot 简介
remotesupport的专栏
01-08 1076
chroot,既是Linux的一条命令,也是它的一个系统调用。它的作用就是就是改变当前环境的根目录到一个文件夹,这个文件夹之外的东西,对于当前环境都是不可见的。因此若是运行不信任的代码或程序,使用chroot作为一个安全沙箱是个很好的选择。这里我们简单介绍一下使用chroot的方法和需要注意的问题,并提供一些跳出chroot环境的方法。 Chroot命令 chroot(1)这条命令在大
华为mate9结合linux deploy、cpolar内网穿透或公网ipv6免费搭建服务器
weixin_50020368的博客
09-19 858
结合多篇资料对一台老手机进行Linux服务器的改造和部署
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值