chroot 命令实例讲解

时间:2020-12-02 23:48:37

我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境?

chroot 命令实例讲解

在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过chroot的进程,其根目录是系统的根目 录,而不是其工作目录)。你可以使用 chroot 命令改变一个命令的根目录,这最终将会改变当前运行的进程及其子进程的根目录。

如果一个进程/命令运行在一个不能访问外部根目录文件的已修改环境中。这种修改环境通常被称为"监禁目录"(jail)或是"chroot 监禁"。只有特权进程和根用户才能使用 chroot 命令。然而这通常是很有用的:

  1. 将特权分配给无特权的进程,例如 Web 服务或 DNS 服务。
  2. 建立测试环境。
  3. 不使程序或系统崩溃下,运行旧程序或 ABI 兼容的程序。
  4. 系统恢复。
  5. 重新安装引导装载程序,例如 Grub 或 Lilo。
  6. 密码找回,重置一个已丢失的密码等。

用途

chroot 命令 改变其当前目录,并将根目录变为指定目录,然后如果提供了命令则运行命令,也可以运行一个用户的交互式shell的副本(译注:即bash等。)。请注意并不是每一个程序都可以使用 chroot 命令。

语法

基本语法如下:

  1. chroot /path/to/new/root command

或者

  1. chroot /path/to/new/root /path/to/server

或者

  1. chroot [options]/path/to/new/root /path/to/server

chroot 命令实例

在这个例子中,建立了一个"迷你*"用来测试一个只有 ls 命令的 Bash shell。首先用 mkdir 命令设定好 jail "*" 路径。

  1. $ J=$HOME/jail

在 $J 内创建目录:

  1. $ mkdir -p $J
  2. $ mkdir -p $J/{bin,lib64,lib}
  3. $ cd $J

cp 命令将/bin/bash 和 /bin/ls 复制到 $J/bin/ 路径下:

  1. $ cp -v /bin/{bash,ls} $J/bin

将所需库文件拷贝到$J。可以用 ldd 命令找到 bash 所依赖的共享库。

  1. $ ldd /bin/bash

输出样例:

  1. linux-vdso.so.1=>(0x00007fff8d987000)
  2. libtinfo.so.5=>/lib64/libtinfo.so.5(0x00000032f7a00000)
  3. libdl.so.2=>/lib64/libdl.so.2(0x00000032f6e00000)
  4. libc.so.6=>/lib64/libc.so.6(0x00000032f7200000)
  5. /lib64/ld-linux-x86-64.so.2(0x00000032f6a00000)

直接拷贝上面输出中的库文件到 $J 目录:

  1. $ cp -v /lib64/libtinfo.so.5/lib64/libdl.so.2/lib64/libc.so.6/lib64/ld-linux-x86-64.so.2 $J/lib64/

输出样例:

  1. `/lib64/libtinfo.so.5' -> `/home/vivek/jail/lib64/libtinfo.so.5'
  2. `/lib64/libdl.so.2'->`/home/vivek/jail/lib64/libdl.so.2'
  3. `/lib64/libc.so.6' -> `/home/vivek/jail/lib64/libc.so.6'
  4. `/lib64/ld-linux-x86-64.so.2' -> `/home/vivek/jail/lib64/ld-linux-x86-64.so.2'

复制 ls 命令所需的库文件到 $J 目录下。用 ldd 命令打印出 ls 命令依赖的共享库:

  1. $ ldd /bin/ls

输出样例:

  1. linux-vdso.so.1=>(0x00007fff68dff000)
  2. libselinux.so.1=>/lib64/libselinux.so.1(0x00000032f8a00000)
  3. librt.so.1=>/lib64/librt.so.1(0x00000032f7a00000)
  4. libcap.so.2=>/lib64/libcap.so.2(0x00000032fda00000)
  5. libacl.so.1=>/lib64/libacl.so.1(0x00000032fbe00000)
  6. libc.so.6=>/lib64/libc.so.6(0x00000032f7200000)
  7. libdl.so.2=>/lib64/libdl.so.2(0x00000032f6e00000)
  8. /lib64/ld-linux-x86-64.so.2(0x00000032f6a00000)
  9. libpthread.so.0=>/lib64/libpthread.so.0(0x00000032f7600000)
  10. libattr.so.1=>/lib64/libattr.so.1(0x00000032f9600000)

你可以一个个的复制库文件,为了更高效的作业,我们也可以使用bash shell 的循环指令实现:

  1. list="$(ldd /bin/ls | egrep -o '/lib.*\.[0-9]')"
  2. for i in $list;do cp -v "$i""${J}${i}";done

输出样例:

  1. `/lib64/libselinux.so.1' -> `/home/vivek/jail/lib64/libselinux.so.1'
  2. `/lib64/librt.so.1'->`/home/vivek/jail/lib64/librt.so.1'
  3. `/lib64/libcap.so.2' -> `/home/vivek/jail/lib64/libcap.so.2'
  4. `/lib64/libacl.so.1' -> `/home/vivek/jail/lib64/libacl.so.1'
  5. `/lib64/libc.so.6'->`/home/vivek/jail/lib64/libc.so.6'
  6. `/lib64/libdl.so.2' -> `/home/vivek/jail/lib64/libdl.so.2'
  7. `/lib64/ld-linux-x86-64.so.2' -> `/home/vivek/jail/lib64/ld-linux-x86-64.so.2'
  8. `/lib64/libpthread.so.0'->`/home/vivek/jail/lib64/libpthread.so.0'
  9. `/lib64/libattr.so.1' -> `/home/vivek/jail/lib64/libattr.so.1'

最后,chroot 到你的新jail:

  1. $ sudo chroot $J /bin/bash

尝试浏览一下 /etc 或 /var:

  1. # ls /
  2. # ls /etc/
  3. # ls /var/

改变了根目录的 bash 和 ls 程序现在被监禁在$HOME/$J这个特殊目录中,而且不能再访问外部的目录树,这个目录可以看做是它们的"/"(root)目录。如果配置正确的话,这会极大增强安全性。我通常用这种技术锁定以下的应用程序。

  1. Apache - Red Hat / CentOS: Chroot Apache 2 Web Server
  2. Nginx - Linux nginx: Chroot (Jail) Setup
  3. Chroot Lighttpd web server on a Linux based system
  4. Chroot mail server.
  5. Chroot Bind DNS server 等等

如何退出 chroot 监禁呢?

键入 exit 即可

  1. $ exit

查找服务是否存在于 chrooted 监禁内

你可以用下面两个命令[轻松的找出 Postfix 邮件服务是否已经 chrooted]:

  1. pid=$(pidof -s master)
  2. ls -ld /proc/$pid/root

从基本Linux服务中输出样例:

  1. lrwxrwxrwx.1 root root 0Mar911:16/proc/8613/root ->/

PID 8613 指向了 / (root) 也就是说这个程序的根目录并没有被改变或是被 chroot。这个方法非常的快速而又直接,不需要打开配置文件。下面是从已经 chroot 的 ngnix 服务中得到的另一个例子:

  1. pid=$(pidof -s master)
  2. ls -ld /proc/$pid/root

输出样例:

  1. lrwxrwxrwx 1 nginx nginx 0Mar911:17/proc/4233/root ->/nginxjail

程序的根目录已经改为 /nginxjail。

我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境?

chroot 命令实例讲解

在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过chroot的进程,其根目录是系统的根目 录,而不是其工作目录)。你可以使用 chroot 命令改变一个命令的根目录,这最终将会改变当前运行的进程及其子进程的根目录。

如果一个进程/命令运行在一个不能访问外部根目录文件的已修改环境中。这种修改环境通常被称为"监禁目录"(jail)或是"chroot 监禁"。只有特权进程和根用户才能使用 chroot 命令。然而这通常是很有用的:

  1. 将特权分配给无特权的进程,例如 Web 服务或 DNS 服务。
  2. 建立测试环境。
  3. 不使程序或系统崩溃下,运行旧程序或 ABI 兼容的程序。
  4. 系统恢复。
  5. 重新安装引导装载程序,例如 Grub 或 Lilo。
  6. 密码找回,重置一个已丢失的密码等。

用途

chroot 命令 改变其当前目录,并将根目录变为指定目录,然后如果提供了命令则运行命令,也可以运行一个用户的交互式shell的副本(译注:即bash等。)。请注意并不是每一个程序都可以使用 chroot 命令。

语法

基本语法如下:

  1. chroot /path/to/new/root command

或者

  1. chroot /path/to/new/root /path/to/server

或者

  1. chroot [options]/path/to/new/root /path/to/server

chroot 命令实例

在这个例子中,建立了一个"迷你*"用来测试一个只有 ls 命令的 Bash shell。首先用 mkdir 命令设定好 jail "*" 路径。

  1. $ J=$HOME/jail

在 $J 内创建目录:

  1. $ mkdir -p $J
  2. $ mkdir -p $J/{bin,lib64,lib}
  3. $ cd $J

cp 命令将/bin/bash 和 /bin/ls 复制到 $J/bin/ 路径下:

  1. $ cp -v /bin/{bash,ls} $J/bin

将所需库文件拷贝到$J。可以用 ldd 命令找到 bash 所依赖的共享库。

  1. $ ldd /bin/bash

输出样例:

  1. linux-vdso.so.1=>(0x00007fff8d987000)
  2. libtinfo.so.5=>/lib64/libtinfo.so.5(0x00000032f7a00000)
  3. libdl.so.2=>/lib64/libdl.so.2(0x00000032f6e00000)
  4. libc.so.6=>/lib64/libc.so.6(0x00000032f7200000)
  5. /lib64/ld-linux-x86-64.so.2(0x00000032f6a00000)

直接拷贝上面输出中的库文件到 $J 目录:

  1. $ cp -v /lib64/libtinfo.so.5/lib64/libdl.so.2/lib64/libc.so.6/lib64/ld-linux-x86-64.so.2 $J/lib64/

输出样例:

  1. `/lib64/libtinfo.so.5' -> `/home/vivek/jail/lib64/libtinfo.so.5'
  2. `/lib64/libdl.so.2'->`/home/vivek/jail/lib64/libdl.so.2'
  3. `/lib64/libc.so.6' -> `/home/vivek/jail/lib64/libc.so.6'
  4. `/lib64/ld-linux-x86-64.so.2' -> `/home/vivek/jail/lib64/ld-linux-x86-64.so.2'

复制 ls 命令所需的库文件到 $J 目录下。用 ldd 命令打印出 ls 命令依赖的共享库:

  1. $ ldd /bin/ls

输出样例:

  1. linux-vdso.so.1=>(0x00007fff68dff000)
  2. libselinux.so.1=>/lib64/libselinux.so.1(0x00000032f8a00000)
  3. librt.so.1=>/lib64/librt.so.1(0x00000032f7a00000)
  4. libcap.so.2=>/lib64/libcap.so.2(0x00000032fda00000)
  5. libacl.so.1=>/lib64/libacl.so.1(0x00000032fbe00000)
  6. libc.so.6=>/lib64/libc.so.6(0x00000032f7200000)
  7. libdl.so.2=>/lib64/libdl.so.2(0x00000032f6e00000)
  8. /lib64/ld-linux-x86-64.so.2(0x00000032f6a00000)
  9. libpthread.so.0=>/lib64/libpthread.so.0(0x00000032f7600000)
  10. libattr.so.1=>/lib64/libattr.so.1(0x00000032f9600000)

你可以一个个的复制库文件,为了更高效的作业,我们也可以使用bash shell 的循环指令实现:

  1. list="$(ldd /bin/ls | egrep -o '/lib.*\.[0-9]')"
  2. for i in $list;do cp -v "$i""${J}${i}";done

输出样例:

  1. `/lib64/libselinux.so.1' -> `/home/vivek/jail/lib64/libselinux.so.1'
  2. `/lib64/librt.so.1'->`/home/vivek/jail/lib64/librt.so.1'
  3. `/lib64/libcap.so.2' -> `/home/vivek/jail/lib64/libcap.so.2'
  4. `/lib64/libacl.so.1' -> `/home/vivek/jail/lib64/libacl.so.1'
  5. `/lib64/libc.so.6'->`/home/vivek/jail/lib64/libc.so.6'
  6. `/lib64/libdl.so.2' -> `/home/vivek/jail/lib64/libdl.so.2'
  7. `/lib64/ld-linux-x86-64.so.2' -> `/home/vivek/jail/lib64/ld-linux-x86-64.so.2'
  8. `/lib64/libpthread.so.0'->`/home/vivek/jail/lib64/libpthread.so.0'
  9. `/lib64/libattr.so.1' -> `/home/vivek/jail/lib64/libattr.so.1'

最后,chroot 到你的新jail:

  1. $ sudo chroot $J /bin/bash

尝试浏览一下 /etc 或 /var:

  1. # ls /
  2. # ls /etc/
  3. # ls /var/

改变了根目录的 bash 和 ls 程序现在被监禁在$HOME/$J这个特殊目录中,而且不能再访问外部的目录树,这个目录可以看做是它们的"/"(root)目录。如果配置正确的话,这会极大增强安全性。我通常用这种技术锁定以下的应用程序。

  1. Apache - Red Hat / CentOS: Chroot Apache 2 Web Server
  2. Nginx - Linux nginx: Chroot (Jail) Setup
  3. Chroot Lighttpd web server on a Linux based system
  4. Chroot mail server.
  5. Chroot Bind DNS server 等等

如何退出 chroot 监禁呢?

键入 exit 即可

  1. $ exit

chroot 命令实例讲解的更多相关文章

  1. Linux Wget 命令实例讲解

    Linux wget是一个下载文件的工具,它用在命令行下.对于Linux用户是必不可少的工具,尤其对于网络管理员,经常要下载一些软件或从远程服务器恢复备份到本地服务器.如果我们使用虚拟主机,处理这样的 ...

  2. Windows下用cmd命令实例讲解yii2.0 的控制台定时任务

    Yii中的资源是和Web页面相关的文件,可为CSS文件,JavaScript文件,图片或视频等,资源放在Web可访问的目录下,直接被Web服务器调用. 有时候有些功能需要做到计划任务中去,因此就需要y ...

  3. linux dd命令实例讲解

    转:http://blog.chinaunix.net/uid-28549627-id-3922282.html 提到linux 系统中的dd命令,各位技术博友大多都很熟悉,用法也是好多,今天主要跟大 ...

  4. Linux命令之dig命令实例讲解

    1.查看域名的A记录 # dig yahoo.com; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.10.rc1.el6_3.2 <<> ...

  5. &lbrack;转帖&rsqb;linux常用命令大全(linux基础命令入门到精通&plus;实例讲解&plus;持续更新&plus;命令备忘录&plus;面试复习)

    linux常用命令大全(linux基础命令入门到精通+实例讲解+持续更新+命令备忘录+面试复习) https://www.cnblogs.com/caozy/p/9261224.html 总结的挺好的 ...

  6. 实例讲解Oracle数据库设置默认表空间问题

    实例讲解Oracle数据库设置默认表空间问题   实例讲解Oracle数据库设置默认表空间问题,阅读实例讲解Oracle数据库设置默认表空间问题,DBA们经常会遇到一个这样令人头疼的问题:不知道谁在O ...

  7. 基于tcpdump实例讲解TCP&sol;IP协议

    前言 虽然网络编程的socket大家很多都会操作,但是很多还是不熟悉socket编程中,底层TCP/IP协议的交互过程,本文会一个简单的客户端程序和服务端程序的交互过程,使用tcpdump抓包,实例讲 ...

  8. makefile基础实例讲解 分类: C&sol;C&plus;&plus; 2015-03-16 10&colon;11 66人阅读 评论&lpar;0&rpar; 收藏

    一.makefile简介 定义:makefile定义了软件开发过程中,项目工程编译链.接接的方法和规则. 产生:由IDE自动生成或者开发者手动书写. 作用:Unix(MAC OS.Solars)和Li ...

  9. 实例讲解Linux系统中硬链接与软链接的创建

    导读 Linux链接分两种,一种被称为硬链接(Hard Link),另一种被称为符号链接(Symbolic Link).默认情况下,ln命令产生硬链接.硬链接与软链接的区别从根本上要从Inode节点说 ...

随机推荐

  1. java之Maven配置和springMvc的简单应用

    初始springMvc这个框架,非常的陌生,而且幸好公司是通过maven这个代码管理工具,可以随时添加依赖.解决了很多问题在以后深入开发中. 项目结构: 通过结构中,pom.xml这个文件其实就说明这 ...

  2. hive odbc

    C:\Windows\SysWOW64  

  3. PowerShell调用jira rest api实现对个人提交bug数的统计

    通过PowerShell的invoke-webrequest和net.client联合实现个人指定项目jira提交数的统计,其中涉及到了JSON对象的提交,代码如下: $content = @{use ...

  4. NoSQL数据库的分布式算法&amp&semi;&amp&semi;memcache集群的实现

    NoSQL数据库的分布式算法  http://blog.nosqlfan.com/html/4139.html 一致性hash算法在memcache集群中的应用   http://alunblog.d ...

  5. zedboard - 轻量级以太网控制器LWIP

    ipconfig/all route print  显示本机所有的网络 网关是什么 那么网关到底是什么呢?网关实质上是一个网络通向其他网络的IP地址.比如有网络A和网络B,网络A的IP地址范围为&qu ...

  6. 使用 COM 风格的编程接口

    使用COM 风格的编程接口 假设不直接使用 COM 库.不创建自己的包装.那么更可能的是使用 COM 风格的编程接口.这是由于如今很多开发商公布应用程序时.提供了首选的互操作程序集(Primary I ...

  7. 团队作业8——第二次项目冲刺(Beta阶段)--第四天

    一.Daily Scrum Meeting照片 二.燃尽图 三.项目进展 学号 成员 贡献比 201421123001 廖婷婷 17% 201421123002 翁珊 18% 201421123004 ...

  8. mysql版本升级

    环境 mysql安装在centos上,需要升级. mysql的版本是 mysql> select version(); +-----------+ | version() | +-------- ...

  9. Python模块 - re

    Python 的 re 模块(Regular Expression 正则表达式)提供各种正则表达式的匹配操作,在文本解析.复杂字符串分析和信息提取时是一个非常有用的工具,下面我主要总结了re的常用方法 ...

  10. 值得一看的35个Redis常用问题总结

    1.什么是redis? Redis 是一个基于内存的高性能key-value数据库. 2.Reids的特点 Redis本质上是一个Key-Value类型的内存数据库,很像memcached,整个数据库 ...