Chroot隔离文件

最新推荐文章于 2024-05-04 21:27:01 发布
最新推荐文章于 2024-05-04 21:27:01 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: 容器化&云原生 Linux 文章标签: linux docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Octopus21/article/details/118873709
版权

文章目录

(1)原理

首先要知道,人们使用容器的最初目的,并不是为了部署软件,而是为了隔离计算机中的各类资源,以便降低软件开发、测试阶段可能产生的误操作风险,或者是专门充当蜜罐,吸引黑客的攻击,以便监视黑客的行为。

容器的起点呢,可以追溯到 1979 年Version 7 UNIX系统中提供的 chroot 命令,这个命令是英文单词“Change Root”的缩写,它所具备的功能是当某个进程经过 chroot 操作之后,它的根目录就会被锁定在命令参数所指定的位置,以后它或者它的子进程就不能再访问和操作该目录之外的其他文件。

1991 年,世界上第一个监控黑客行动的蜜罐程序就是使用 chroot 来实现的,那个参数指定的根目录当时被作者被戏称为“Chroot 监狱”(Chroot Jail),而黑客突破 chroot 限制的方法就叫做 Jailbreak。后来,FreeBSD 4.0 系统重新实现了 chroot 命令,把它作为系统中进程沙箱隔离的基础,并将其命名为FreeBSD jail。

chroot是起源于Unix系统的一个操作,作用于正在运行的进程和它的子进程,改变它外显的根目录。一个运行在这个环境下,经由chroot设定根目录的程式,它不能够对这个指定根目录之外的档案进行存取动作,不能读取,也不能更改它的内容。chroot这一特殊表达可以指chroot(2)系统调用或chroot(8)应用程序。

所谓的改变root目录,其实就是 改变进程的taskstruct中fs结构体中的root字段,实现不同的根目录查询。从实现角度看, chroot的确不能实现安全的环境隔离。

(2)命令介绍

chroot命令用来在指定的根目录下运行指令。chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以/,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为/位置。

在经过 chroot 命令之后,系统读取到的目录和文件将不在是旧系统根下的而是新根下(即被指定的新的位置)的目录结构和文件,因此它带来的好处大致有以下3个:

【1】增加了系统的安全性,限制了用户的权力:

在经过 chroot 之后,在新根下将访问不到旧系统的根目录结构和文件,这样就增强了系统的安全性。这个一般是在登录 (login) 前使用 chroot,以此达到用户不能访问一些特定的文件。

【2】建立一个与原系统隔离的系统目录结构,方便用户的开发:

使用 chroot 后,系统读取的是新根下的目录和文件,这是一个与原系统根下文件不相关的目录结构。在这个新的环境中,可以用来测试软件的静态编译以及一些与系统不相关的独立开发。

【3】切换系统的根目录位置,引导 Linux 系统启动以及急救系统等:

chroot 的作用就是切换系统的根位置,而这个作用最为明显的是在系统初始引导磁盘的处理过程中使用,从初始 RAM 磁盘 (initrd) 切换系统的根位置并执行真正的 init。另外,当系统出现一些问题时,我们也可以使用 chroot 来切换到一个临时的系统。

【语法】
chroot(选项)(参数)
【选项】
–help:在线帮助;
–version:显示版本信息。
【参数】
目录:指定新的根目录;
指令:指定要执行的指令。

(3)示例

首先我们在当前目录下创建一个 rootfs 目录:
在这里插入图片描述

使用现成的 busybox 镜像来创建一个系统

cd rootfs 
docker export $(docker create busybox) -o busybox.tar
tar -xf busybox.tar

执行完上面的命令后,在 rootfs 目录下,我们会得到一些目录和文件。下面我们使用 ls 命令查看一下 rootfs 目录下的内容。
在这里插入图片描述
可以看到我们在 rootfs 目录下初始化了一些目录,下面让我们通过一条命令来见证 chroot 的神奇之处。使用以下命令,可以启动一个 sh 进程,并且把 /home/docker/rootfs 作为 sh 进程的根目录。

chroot /home/docker/rootfs /bin/sh

执行完上述命令后,会进入下面的一个终端环境,下面执行的命令需要以/bin/开头
在这里插入图片描述
查看当前进程根目录下的文件

/bin/ls /

在这里插入图片描述

这里可以看到当前进程的根目录已经变成了主机上的 /home/docker/rootfs 目录。这样就实现了当前进程与主机的隔离。到此为止,一个目录隔离的容器就完成了。

需要注意的是通过chroot只是实现了进程隔离文件的作用,但是对于网络信息并没有隔离

执行以下命令,查看如下路由信息:

在chroot进程下查看的路由信息
在这里插入图片描述
主机的路由信息
在这里插入图片描述

执行 ip route 命令后,你可以看到网络信息并没有隔离,实际上进程等信息此时也并未隔离。

ZWZhangYu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Linux 命令】chroot
呆呆的猫的博客
04-22 2442
本文介绍 linux chroot 命令
linuxchroot命令
phmatthaus的专栏
10-18 1031
chroot命令详解及实例
chroot建立隔离环境
最新发布
zhu_superman的博客
05-04 341
chroot是一个在 Unix-like 系统(如 Linux)中改变根目录的命令。这个命令允许你在一个子目录内建立一个隔离的环境,该子目录作为整个系统的根目录,从而限制进程和其子进程的文件系统访问权限。这个环境被称为“chroot jail”或者“chroot环境”。
Chroot 环境管理工具
Free雅轩的博客
10-11 512
你所要做的就是为该 atom 命名,然后从可用选项列表中选择 Linux 发行版(Ubuntu 作为上面截图中的选择)。相反,如果你想测试应用或其他东西,请创建一个允许你选择不同根目录的 chroot 环境。你安装的任何应用或你尝试的任何东西都会被限制在该目录中,并且不会影响操作系统的功能。Atoms 是一个简单的 GUI 程序,可让你为多个受支持的 Linux 发行版创建 chroot 环境。chroot 有它的好处,这就是为什么它是为各种用户(尤其是系统管理员)测试事物的便捷方式。
chroot命令
zhaominyong的专栏
06-25 2323
转载:理解 chroot 什么是 chroot chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以/,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为/位置。 图 1. Linux 系统的目录结构 为何使用 chroot 在经过 chroot 之后,系统读取到的目录和文件将不在是旧系统根下的而是新根下(即被指定的新的位置)的目录结构和文件,因此它带来的好处大致有以...
linux 内核情景分析之 chroot 命令背后的内核态行为
龙瑜的博客
10-24 1032
基础知识 如下内容摘自《Linux 内核源代码情景分析》 第 5 章。 要访问一个文件就得先访问一个目录,才能根据文件名从目录中找到该文件的目录项,进而找到其 inode 节点:可是目录本身也是文件,它本身的目录项又在另一个目录项中,这一来不是成了"先有鸡还是先有蛋的问题",或者说递归了吗?这个圈子的出口在哪儿呢? 我们不妨换一个方式来问这个问题,那就是:是否有这样一个目录,它本身的“目录项”不在其它目录中,而可以在一个固定的位置上或者通过一个固定的算法找到,并且从这个目录出发可以找到系统中的任何一个
如何通过chroot构建Linux操作系统
08-01
通过chroot构建Linux操作系统不仅有助于学习,还可以在测试新版本、隔离环境或实验不同配置时提供便利。这种方法虽然比直接安装系统稍复杂,但对于提升Linux技能和理解操作系统工作原理具有极大的价值。
pam_chroot-开源
05-03
在管理网络服务、隔离敏感数据或提高服务器安全性方面,PAM_chroot都有其独特的优势。然而,正确配置和维护是确保其有效性的关键,因此,管理员应当对PAM配置和chroot环境有深入理解,以充分利用这一开源解决方案。
Chroot进入linux文件系统以执行修复_Shell_下载.zip
04-28
Linux操作系统中,ChrootChange Root)是一个强大的工具,它允许系统管理员创建一个隔离的环境,这个环境看起来就像是一个独立的操作系统实例,但实际上仍然是在原系统的权限范围内运行。Chroot常常用于系统维护...
Jail Chroot Project-开源
05-01
Linux和类Unix系统中,chroot是一种安全机制,允许用户限制进程访问的文件系统视图,为系统管理员提供了隔离和保护资源的有效手段。 **chroot环境** 是一个虚拟化的根目录,它为进程创建了一个看起来像是系统的根...
Docker背后的内核知识—Namespace资源隔离
01-30
也许你第一反应可能就是chroot命令,这条命令给用户最直观的感觉就是使用后根目录/的挂载点切换了,即文件系统被隔离了。然后,为了在分布式的环境下进行通信和定位,容器必然需要一个独立的IP、端口、路由等等,...
linux chroot命令详解
01-11
chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 /,即以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。 基本语法 chroot NEWROOT [COMMAND [ARG]...] 具体用法请参考本文的 demo。 为什么要使用 chroot 命令 增加了系统的安全性,限制了用户的权力: 在经过 chroot 之后,在新根下将访问不到旧系统的根目录结构和文件,这样就增强了系统的安全性。一般会在用户登录前应用 chroot,把用户的访问能力控制在一定
利用chroot构建linux沙盒
guan0005的博客
08-03 6931
利用chroot构建linux沙盒 操作系统:centos 6.6 一、创建沙盒的运行环境 (1)创建沙箱根目录,即受限用户登陆时的根目录,可随意指定 mkdir /home/chroot (2)拷贝及创建受限用户运行所需的目录及文件。proc目录为非必需。 cp /bin /home/chroot/ -rf cp /lib /home/chroot/ -rf cp /lib64 /h...
ant学习一(ant部署)
papa8384的博客
11-14 135
1、什么是Ant Apache Ant是一款基于java的构建的工具。有如下优点: Ant是纯Java语言编写的,所示具有很好的跨平台性。操作简单。Ant是由一个内置任务和可选任务组成的。Ant运行时需要一个XML文件(构建文件)。Ant通过调用target树,就可以执行各种task。每个task实现了特定接口对象。由于Ant的构建文件是XML格式的,所以很容易维护和书写,而且结构很清晰。由于...
Linux命令-chroot命令(把根目录换成指定的目的目录)
RisunJan的博客
03-01 1299
这样就能够正确运行a.out了,因为a.out使用到了其他的动态连接库,所以需要将库拷贝到newRoot中,如果没有其他库那么直接拷贝a.out就能运行。在 linux 系统中,系统默认的目录结构都是以 / ,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。这样运行的是target中。了动态连接的库,需要用ldd查看a.out需要那些动态库,将这些库拷贝到新根的对应路径下才能执。的ls(不是本机的 /bin/ls ),然后返回立即本机的目录环境。
linux下的chroot命令详解,linux chroot 命令用法说明
weixin_34736362的博客
04-29 2884
chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 /,即以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。基本语法chroot NEWROOT [COMMAND [ARG]...]具体用法请参考本文的 demo。为什么要使用 chroot 命令增加了系统的安全...
chroot 实践
power_to_go
05-21 257
chroot - run command or interactive shell with special root directory 以制作一个只有 bash 和 ls 两条命令的隔离环境为例。实践环境 Aliyun ubuntu18.04 制作一个 chroot 隔离环境 创建一个 new root, 并切换到 jail 目录 mkdir jail cd jail 在 jail 下创建 bin 目录 mkdir bin 复制 bin 和 bash 到 jail/bin cp -v /bin/.
chroot与pivot_root总结 完整的chroot与pivot_root使用例子
liuyij3430448的博客
12-12 2689
chroot与pivot_root 完整使用例子
Linux之ant安装部署
热门推荐
m0_37039484的博客
06-25 1万+
  今天呢,在这里讲下linux环境下ant的部署,废话不多说,直接进入教程。  首先呢,先安装基础环境Java,在这里就不多说了.....不熟悉的小伙伴可以百度找找,很简单的 .......  接下来呢,就开始ant的部署,具体分为如下几个步骤:    1. 获取介质:             在apache的官网中直接下载,下载地址为:http://ant.apache.org/       ...
chroot软件的作用是什么
05-31
chroot 是一种用于限制进程访问文件系统的机制,可以将进程的根目录限定在一个指定的目录下,从而有效地隔离进程的文件系统。 chroot 的作用主要有以下几个方面: 1. 增强系统安全性:通过将进程的根目录限制在一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZWZhangYu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值