chroot详解
我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境?
在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过chroot的进程,其根目录是系统的根目录,而不是其工作目录)。你可以使用 chroot 命令改变一个命令的根目录,这最终将会改变当前运行的进程及其子进程的根目录。
如果一个进程/命令运行在一个不能访问外部根目录文件的已修改环境中。这种修改环境通常被称为"监禁目录"(jail)或是"chroot 监禁"。只有特权进程和根用户才能使用 chroot 命令。然而这通常是很有用的: 1.将特权分配给无特权的进程,例如 Web 服务或 DNS 服务。 2.建立测试环境。 3.不使程序或系统崩溃下,运行旧程序或 ABI 兼容的程序。 4.系统恢复。 5.重新安装引导装载程序,例如 Grub 或 Lilo。 6.密码找回,重置一个已丢失的密码等。
用途
chroot 命令 改变其当前目录,并将根目录变为指定目录,然后如果提供了命令则运行命令,也可以运行一个用户的交互式shell的副本(译注:即bash等。)。请注意并不是每一个程序都可以使用 chroot 命令。
语法
基本语法如下: 1.chroot /path/to/new/root command
或者 1.chroot /path/to/new/root /path/to/server
或者 1.chroot [options]/path/to/new/root /path/to/server
chroot 命令实例
在这个例子中,建立了一个"迷你监狱"用来测试一个只有 ls 命令的 Bash shell。首先用 mkdir 命令设定好 jail "监狱" 路径。 1.$ J=$HOME/jail
在 $J 内创建目录: 1.$ mkdir -p $J 2.$ mkdir -p $J/{bin,lib64,lib} 3.$ cd $J
用cp 命令将/bin/bash 和 /bin/ls 复制到 $J/bin/ 路径下: 1.$ cp -v /bin/{bash,ls} $J/bin
将所需库文件拷贝到$J。可以用 ldd 命令找到 bash 所依赖的共享库。 1.$ ldd /bin/bash
输出样例: 1.linux-vdso.so.1=>(0x00007fff8d987000) 2.libtinfo.so.5=>/lib64/libtinfo.so.5(0x00000032f7a00000) 3.libdl.so.2=>/lib64/libdl.so.2(0x00000032f6e00000) 4.libc.so.6=>/lib64/libc.so.6(0x00000032f7200000) 5./lib64/ld-linux-x86-64.so.2(0x00000032f6a00000)
直接拷贝上面输出中的库文件到 $J 目录: 1.$ cp -v /lib64/libtinfo.so.5/lib64/libdl.so.2/lib64/libc.so.6/lib64/ld-linux-x86-64.so.2 $J/lib64/
输出样例: 1.`/lib64/libtinfo.so.5' -> `/home/vivek/jail/lib64/libtinfo.so.5' 2.`/lib64/libdl.so.2'->`/home/vivek/jail/lib64/libdl.so.2' 3.`/lib64/libc.so.6' -> `/home/vivek/jail/lib64/libc.so.6' 4.`/lib64/ld-linux-x86-64.so.2' -> `/home/vivek/jail/lib64/ld-linux-x86-64.so.2'
复制 ls 命令所需的库文件到 $J 目录下。用 ldd 命令打印出 ls 命令依赖的共享库: 1.$ ldd /bin/ls
输出样例: 1.linux-vdso.so.1=>(0x00007fff68dff000) 2.libselinux.so.1=>/lib64/libselinux.so.1(0x00000032f8a00000) 3.librt.so.1=>/lib64/librt.so.1(0x00000032f7a00000) 4.libcap.so.2=>/lib64/libcap.so.2(0x00000032fda00000) 5.libacl.so.1=>/lib64/libacl.so.1(0x00000032fbe00000) 6.libc.so.6=>/lib64/libc.so.6(0x00000032f7200000) 7.libdl.so.2=>/lib64/libdl.so.2(0x00000032f6e00000) 8./lib64/ld-linux-x86-64.so.2(0x00000032f6a00000) 9.libpthread.so.0=>/lib64/libpthread.so.0(0x00000032f7600000) 10.libattr.so.1=>/lib64/libattr.so.1(0x00000032f9600000)
你可以一个个的复制库文件,为了更高效的作业,我们也可以使用bash shell 的循环指令实现: 1.list="$(ldd /bin/ls | egrep -o '/lib.*\.[0-9]')" 2.for i in $list;do cp -v "$i""${J}${i}";done
输出样例: 1.`/lib64/libselinux.so.1' -> `/home/vivek/jail/lib64/libselinux.so.1' 2.`/lib64/librt.so.1'->`/home/vivek/jail/lib64/librt.so.1' 3.`/lib64/libcap.so.2' -> `/home/vivek/jail/lib64/libcap.so.2' 4.`/lib64/libacl.so.1' -> `/home/vivek/jail/lib64/libacl.so.1' 5.`/lib64/libc.so.6'->`/home/vivek/jail/lib64/libc.so.6' 6.`/lib64/libdl.so.2' -> `/home/vivek/jail/lib64/libdl.so.2' 7.`/lib64/ld-linux-x86-64.so.2' -> `/home/vivek/jail/lib64/ld-linux-x86-64.so.2' 8.`/lib64/libpthread.so.0'->`/home/vivek/jail/lib64/libpthread.so.0' 9.`/lib64/libattr.so.1' -> `/home/vivek/jail/lib64/libattr.so.1'
最后,chroot 到你的新jail: 1.$ sudo chroot $J /bin/bash
尝试浏览一下 /etc 或 /var: 1.# ls / 2.# ls /etc/ 3.# ls /var/
改变了根目录的 bash 和 ls 程序现在被监禁在$HOME/$J这个特殊目录中,而且不能再访问外部的目录树,这个目录可以看做是它们的"/"(root)目录。如果配置正确的话,这会极大增强安全性。我通常用这种技术锁定以下的应用程序。 1.Apache - Red Hat / CentOS: Chroot Apache 2 Web Server 2.Nginx - Linux nginx: Chroot (Jail) Setup 3.Chroot Lighttpd web server on a Linux based system 4.Chroot mail server. 5.Chroot Bind DNS server 等等
如何退出 chroot 监禁呢?
键入 exit 即可 1.$ exit
上述会话样例如下:
Animated gif 01: Linux / Unix: Bash Chroot ls Command Demo
Gif 动画01: Linux / Unix: Bash Chroot ls 命令演示
查找服务是否存在于 chrooted 监禁内
你可以用下面两个命令[轻松的找出 Postfix 邮件服务是否已经 chrooted]: 1.pid=$(pidof -s master) 2.ls -ld /proc/$pid/root
从基本Linux服务中输出样例: 1.lrwxrwxrwx.1 root root 0Mar911:16/proc/8613/root ->/
PID 8613 指向了 / (root) 也就是说这个程序的根目录并没有被改变或是被 chroot。这个方法非常的快速而又直接,不需要打开配置文件。下面是从已经 chroot 的 ngnix 服务中得到的另一个例子: 1.pid=$(pidof -s master) 2.ls -ld /proc/$pid/root
输出样例: 1.lrwxrwxrwx 1 nginx nginx 0Mar911:17/proc/4233/root ->/nginxjail
程序的根目录已经改为 /nginxjail。
Ubuntu 14.04 下载、安装、配置的相关知识 http://www.linuxidc.com/Linux/2014-04/100370.htm
Ubuntu 14.04系统下载地址:http://www.linuxidc.com/Linux/2014-04/100352.htm
Windows 7下硬盘安装Ubuntu 14.04图文教程 http://www.linuxidc.com/Linux/2014-04/100983.htm
更多Ubuntu相关信息见Ubuntu 专题页面 http://www.linuxidc.com/topicnews.aspx?tid=2
本文永久更新链接地址:http://www.linuxidc.com/Linux/2014-05/102130.htm linux 本篇文章来源于 Linux公社网站(www.linuxidc.com) 原文链接:http://www.linuxidc.com/Linux/2014-05/102130.htm
chroot详解的更多相关文章
- Rsync 服务部署与参数详解
Rsync 简介 rsync 是一款开源的.快速的.多功能的.可实现全量及增量的本地或远程数据同步备份的优秀工具.Rsync软件适用于unix/linux/windows等多种操作系统平台. 传统的 ...
- php配置php-fpm启动参数及配置详解
约定几个目录 /usr/local/php/sbin/php-fpm/usr/local/php/etc/php-fpm.conf/usr/local/php/etc/php.ini一,php-fpm ...
- php-fpm 启动参数及重要配置详解
约定几个目录 /usr/local/php/sbin/php-fpm /usr/local/php/etc/php-fpm.conf /usr/local/php/etc/php.ini 一,php- ...
- rsync.conf详解
1.在服务端编辑配置文件 [root@game_intf ~]# more /etc/rsyncd.conf port=8730 log file=/var/log/rsync.log pid fil ...
- Rsync详解
Rsync详解 1.什么是RsyncRsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件.Rsync使用所谓的“Rsync算法”来使本 ...
- VSFTPD全攻略(/etc/vsftpd/vsftpd.conf文件详解)
/etc/vsftpd/vsftpd.conf文件详解,分好类,方便大家查找与学习 #################匿名权限控制############### anonymous_enable=YE ...
- Haproxy均衡负载部署和配置文件详解
HAproxy均衡负载部署和配置文件详解 HAProxy提供高可用性.负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费.快速并且可靠的一种解决方案.根据官方数据,其最高极限支持10G ...
- 负载均衡之Haproxy配置详解(及httpd配置)
下图描述了使用keepalived+Haproxy主从配置来达到能够针对前段流量进行负载均衡到多台后端web1.web2.web3.img1.img2.但是由于haproxy会存在单点故障问题,因此使 ...
- haproxy 安装与配置文件详解
本文主要阐述haproxy的安装配置详解,对于它的概念,作用,功能,和其它LB软件的区别,优点,缺点等不再进行说明. 一. haproxy 的安装配置 # cat /etc/redhat-releas ...
随机推荐
- 第三方登录之qq登录(转载)
iOS QQ第三方登实现 我们经常会见到应用登陆的时候会有QQ,微信,微博等的第三方登陆 如图: 下面我们主要讲一下qq的第三方登陆如何实现 首先,到官网注册: http://wiki.conne ...
- js知识体系的梳理一
今天简单的总结了js的一些东西,梳理下整个体系,每一次的总结都会有不同的收获:js总结一一.[获取元素]: 1.通过ID: var oBtn=document.getElementById('btn1 ...
- gridpanel分组汇总
[ExtJS5学习笔记]第三十节 sencha extjs 5表格gridpanel分组汇总 2015-05-31 86 本文地址:http://blog.csdn.net/sushengmi ...
- Android view中的requestLayout和invalidate方法
Android view中的requestLayout和invalidate方法 requestLayout:当view确定自身已经不再适合现有的区域时,该view本身调用这个方法要求parent v ...
- QT QString类
字符串有如下几个操作符 QString提供了一个二元的"+"操作符用于组合两个字符串,并提供了一个"+="操作符用于将一个字符串追加到另一个字符串的末尾,例如: ...
- ASP.NET中进行消息处理(MSMQ) 一
MSMQ是微软消息队列的英文缩写.那么什么是消息队列?这些介绍网上一大片这里就不多说了.本文对于大虾级的人物来说这只是小玩意而已,对于初学者来说这文章还是有一定的帮助,希望路过的大虾们别笑话我班门弄斧 ...
- windows 7 和 Ubuntu的双系统安全删除Ubuntu
1,准备文件 百度云盘链接:http://pan.baidu.com/s/1kVxuwSn 密码:e8ma 2,操作流程 #1,进入win7,将第一步下载的文件放在C:\windows\system3 ...
- Javascript跨域问题总结
疯狂的JSONP 关于JSON与JSONP简单总结 window.name实现的跨域数据传输 JavaScript跨域总结与解决办法 flash跨域策略文件crossdomain.xml配置详解
- win10快捷键大全 win10常用快捷键
win10快捷键大全大家可以来了解一下,今天小编带来了win10常用快捷键,很多朋友喜欢使用快捷键来操作电脑,那么Windows10系统有哪些新的快捷键呢• 贴靠窗口:Win +左/右> Win ...
- Java系列: 我的第一个spring aop练习
看<Spring in action>有一段时间了,陆续也都看懂了,但是看懂和自己动手写确实是两回事,今天花了几个小时陆续开始安装spring,开始使用DI,然后使用AOP,在写AOP例子 ...