chroot, busybox和搭建沙盒

最新推荐文章于 2023-12-01 10:03:37 发布
最新推荐文章于 2023-12-01 10:03:37 发布
阅读量7k 收藏 6
点赞数
分类专栏: linux 杂七杂八
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/largetalk/article/details/9073625
版权

有时为了安全,我们需要将用户程序的执行环境和外部隔离开来,  在linux下 chroot可完成如此工作。

chroot,即 change root directory (更改 root 目录)。在 linux 系统中,系统默认的目录结构都是以 `/`,即是以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 `/` 位置。 ----- from:http://www.ibm.com/developerworks/cn/linux/l-cn-chroot/

按wiki上说法是, 一个chroot环境可用于创建并运行一个隔离的虚拟软件系统拷贝。

so, how to use chroot?

还是根据上面IBM那篇文章,先准备一个busybox的东东,BusyBox 是一个集成了一百多个最常用linux命令和工具的软件。主页:http://www.busybox.net/

下载busybox可执行文件,并建立如下目录:

$ tree .
.
├── bin
│   ├── ash -> busybox
│   └── busybox
├── etc
└── newhome

然后 chroot . bin/ash 这样就切换root了, 现在这个环境中没什么程序,不过有个busybox, 可以这样busybox  ls 执行些小程序。

这个环境还太简单了,有个叫jailkit的东西能快速建立沙盒环境, http://olivier.sessink.nl/jailkit/

这里有偏介绍用jailkit建立受限ssh帐户的文章 http://dongbeta.com/2012/02/setup-an-limited-account-on-linux-by-jailkit/

jailkit 给出的一个例子:

# Initialise the jail
mkdir /home/sftproot
chown root:root /home/sftproot
chmod 0755 /home/sftproot
jk_init -j /home/sftproot jk_lsh
jk_init -j /home/sftproot sftp
jk_init -j /home/sftproot scp
# Create the account
jk_addjailuser -j /home/sftproot test
# Edit the jk_lsh configfile in the jail; see man jk_lsh..
# You can use every editor you want; I choose 'joe'
joe /home/sftproot/etc/jailkit/jk_lsh.ini
# Restart jk_socketd so that log messages are transferred 
killall jk_socketd
jk_socketd
# Test the account
sftp test@localhost
# Check the logs to see if everything is correct
tail /var/log/daemon.log /var/log/auth.log


largetalk
关注
专栏目录
利用chroot构建linux沙盒
guan0005的博客
08-03 6955
利用chroot构建linux沙盒 操作系统:centos 6.6 一、创建沙盒的运行环境 (1)创建沙箱根目录,即受限用户登陆时的根目录,可随意指定 mkdir /home/chroot (2)拷贝及创建受限用户运行所需的目录及文件。proc目录为非必需。 cp /bin /home/chroot/ -rf cp /lib /home/chroot/ -rf cp /lib64 /h...
linux制作chroot环境,/chroot环境搭建 - 定制的小型文件系统
weixin_39888412的博客
05-12 660
服务器为RedHat5.5root用户操作:1.部署目录环境创建一个目录,目录结构与实际的/目录结构类似创建用户useradd ppppasswd ppp将chroot目录设置在/chroot下mkdir -p /chroot/{etc,dev,proc,lib,bin,home,usr}mkdir -p /chroot/usr/{bin,lib,libexec}mkdir -p /chroot/...
chroot环境的快速构建
weixin_33888907的博客
12-22 293
在配置linux服务器安全时,我们有时需要将一些服务放到chroot环境中运行。但共享库的依赖关系往往使管理员望而却步。我们可以通过一段shell脚本,帮助我们解决共享库的依赖关系,使chroot环境的配置变得迅速和简单。我 们以构建bash的chroot环境为例子,当却少相应的共享库依赖关系时,chroot命令会报“cannot run command `/bin/ba...
docker&export&save&chroot&busybox
秋裤傻的博客
02-24 112
基础镜像 docker的镜像和chroot的目录 是类似的东西,都是一个rootfs,它们都运行在bootfs,也就是内核层之上。所以只要chroot可以用的目录,打包之后,可以直接impo...
CentOS6.3构建chroot环境
weixin_34409357的博客
06-07 170
声明:系统环境是,Redhat6.3,32位。rpm -e 卸载了 httpd mysql php,后又用rpm install httpd安装了apache 以下这个版本[root@hxww sphinx-for-chinese-0.9.9-r2117]# rpm -qa httpdhttpd-2.2.15-28.el6.centos.i686说明:chroot--chan...
prootchroot,mount --bind和binfmt_misc,没有Linux的特权设置
01-31
通过结合`chroot`、`mount --bind`和`binfmt_misc`,`proot`在用户空间创建了一个虚拟化的系统环境,使得开发者和爱好者能够更加便捷地进行软件测试、实验和学习。对于那些想要尝试不同Linux发行版但又不希望频繁...
chrootme:小型脚本,用于挂载和chroot本地系统(使用应急CD或映像)
05-19
小型脚本,用于挂载和chroot本地系统(使用应急CD或映像)。 该脚本开发为具有最低要求,因此应在非常大的救援系统面板上运行。 随时报告位于以下位置的Github中的任何问题: : 用法 wget --no-check-...
x9chroot:创建和/或进入一个简单的chroot环境进行测试
02-14
创建和/或进入基本的chroot环境,主要用于测试开发项目。 它没有安装第三方库或应用程序,而只有用于基本功能的一部分标准GNU / POSIX实用程序。 创建后,可以有意或无意中破坏环境,而不会损害实际操作系统。 ...
使用chroot搭建虚拟环境测试
随手写下笔记和感悟
04-16 590
docker、虚拟机太慢?环境一动就崩?快来使用chroot虚拟环境测试。
linux-FSSBLinux文件系统沙箱
08-13
FSSB - Linux文件系统沙箱
box86:Box86-针对ARM Linux设备Linux Userspace x86仿真器
02-04
box86 Linux Userspace x86仿真器 Box86允许您在非x86 Linux(例如ARM)上运行x86 Linux程序(例如游戏)(主机系统必须是32位little-endian)。 您需要一个32位子系统来运行和构建Box86。 Box86在仅64位系统上无用。 另外,您需要32位工具链来构建Box86。 仅支持64位的工具链将无法编译Box86,并且会出现错误(通常在aarch64上,您将无法识别“ -marm”,并且需要多体系结构或chroot环境)。 由于Box86使用某些“系统”库的本机版本,例如libc,libm,SDL和OpenGL,因此易于集成和使用,
linux沙箱技术
xu_ya_fei的专栏
12-08 7004
在计算机安全领域,沙箱(Sandbox)是一种程序的隔离运行机制,其目的是限制不可信进程或不可信代码运行时的访问权限。沙箱技术经常被用于执行未经测试的或不可信的客户程序。为了阻止不可信程序可能破坏系统程序或破坏其它用户程序的运行,沙箱技术通过为不可信客户程序提供虚拟化的内存、文件系统、网络等资源,而这种虚拟化手段对客户程序来说是透明的。由于沙箱里的资源被虚拟化(或被间接化),所以沙箱里的不可信程序
linux沙盒机制6,IOS沙盒机制(SandBox)
weixin_39882948的博客
05-14 205
转载自:http://www.cnblogs.com/taintain1984/archive/2013/03/19/2969201.htmlIOS中的沙盒机制(SandBox)是一种安全体系,它规定了应用程序只能在为该应用创建的文件夹内读取文件,不可以访问其他地方的内容。所有的非代码文件都保存在这个地方,比如图片、声音、属性列表和文本文件等。1.每个应用程序都在自己的沙盒内2.不能随意跨越自己的...
linux创建沙箱环境,FSSB - Linux文件系统沙箱
weixin_31829387的博客
05-10 535
FSSB - Filesystem Sandbox for LinuxWhat is FSSB?FSSB is a sandbox for your filesystem. With it, you can run any program and be assured that none of your files are modified in any way. However, the pro...
Linux沙箱技术
最新发布
summer_fish的专栏
12-01 1269
在Linux系统中,由于其开放源代码和广泛应用的特点,安全性成为了一个关键问题。为了确保系统的安全性,研究者们提出了许多解决方案,其中之一就是进程沙箱隔离。进程沙箱隔离是一种将应用程序与底层操作系统隔离开来的技术。通过将应用程序运行在一个受限的环境中,可以有效地防止恶意软件或有害程序对系统的攻击和破坏。进程沙箱隔离主要依靠操作系统的安全机制来实现。在Linux系统中,可以利用命名空间(namespace)和 控制组(cgroup)等功能来构建进程沙箱。
简单说说容器/沙盒(Sandbox)以及Linux seccomp
热门推荐
Netfilter
07-20 1万+
如果应用程序逻辑有误,会造成操作系统崩溃… 这句话其实不对。如果一个应用程序都能让一个操作系统崩溃了,那这一定是这个系统在设计上或者实现上的BUG!再次重申,我不知道谭浩强的C语言教材现在是怎么讲的,但是至少在15年前,很多老师都会说访问空指针会造成操作系统崩溃,这在32位虚拟内存的系统中是错误的。 虽然一个应用程序不能让一个正常的现代操作系统崩溃,但是它却可以对操作系统的运行环境造成巨大...
Detux 沙盒搭建
不急不躁
05-31 2272
Detux 介绍Limon 沙盒由于不是双机环境,被我搁置了,先解决 Detux 沙盒的问题 Detux 沙盒的 GitHub 地址和在线沙盒环境都给出了,如果想自己搭建也可以,作者在 GitHub 上指出其特别感谢 aurel,这个人构建了不同处理器的各种环境的虚拟机,供大家下载的地址问题出现下载完成后可以看到,都是qcow2格式的,或许这位同仁实现的就是在线的那个版本,上传的样本被传进后台新启
linux 在沙盒中运行,Linux容器的细粒度沙盒策略执行方法与流程
weixin_29569767的博客
04-30 374
本发明专利属于计算机技术领域,涉及云计算安全方向。更具体的讲,本发明专利涉及一种Linux容器的细粒度沙盒策略执行方法。背景技术:Linux容器技术采用命名空间将进、文件、设备等资源进行隔离,为用户提供几近原生的性能体验,极大降低了虚拟化的额外开销。Docker容器是最具代表性的Linux容器技术之一。Linux容器的安全问题已成为限制其广泛使用的重要影响因素。安全问题主要来源于,系统调用接口未实...
chroot和非chroot是什么意思
06-06
chroot是一种操作系统级别的安全机制,可以将进程限制在一个指定的根目录下运行。这个根目录成为进程的chroot目录,目的是为了限制进程的文件和目录访问范围,提高系统的安全性。 非chroot指的是进程运行在自己的根目录下,也就是系统默认的根目录。在这种情况下,进程可以访问所有文件和目录,包括系统中的敏感文件和目录,安全性较低。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值