我是一个刚接触 Linux 和 Unix 的新手。我该如何改变一个命令的根目录?我要怎样改变一个进程的根目录呢,比如用 chroot 命令将web服务与文件系统隔离?我要如何使用 chroot 恢复密码或修复基于 Linux/Unix的受损坏的环境?
在 Linux和类 Unix 系统下每一个进程/命令的当前工作目录称之为进程/命令的根目录(译注:译者以为此处有误,实际上没有进行过chroot的进程,其根目录是系统的根目录,而不是其工作目录)。你可以使用 chroot 命令改变一个命令的根目录,这最终将会改变当前运行的进程及其子进程的根目录。
如果一个进程/命令运行在一个不能访问外部根目录文件的已修改环境中。这种修改环境通常被称为”监禁目录”(jail)或是”chroot 监禁”。只有特权进程和根用户才能使用 chroot 命令。然而这通常是很有用的:
用途
chroot 命令 改变其当前目录,并将根目录变为指定目录,然后如果提供了命令则运行命令,也可以运行一个用户的交互式shell的副本(译注:即bash等。)。请注意并不是每一个程序都可以使用 chroot 命令。
语法
基本语法如下:
或者
或者
chroot 命令实例
在这个例子中,,建立了一个”迷你监狱”用来测试一个只有 ls 命令的 Bash shell。首先用 mkdir 命令设定好 jail “监狱” 路径。
在 $J 内创建目录:
用cp 命令将/bin/bash 和 /bin/ls 复制到 $J/bin/ 路径下:
将所需库文件拷贝到$J。可以用 ldd 命令找到 bash 所依赖的共享库。
输出样例:
直接拷贝上面输出中的库文件到 $J 目录:
输出样例:
复制 ls 命令所需的库文件到 $J 目录下。用 ldd 命令打印出 ls 命令依赖的共享库:
输出样例:
你可以一个个的复制库文件,为了更高效的作业,我们也可以使用bash shell 的循环指令实现:
输出样例:
最后,chroot 到你的新jail:
尝试浏览一下 /etc 或 /var:
改变了根目录的 bash 和 ls 程序现在被监禁在$HOME/$J这个特殊目录中,而且不能再访问外部的目录树,这个目录可以看做是它们的”/”(root)目录。如果配置正确的话,这会极大增强安全性。我通常用这种技术锁定以下的应用程序。
如何退出 chroot 监禁呢?
键入 exit 即可
$ exit
上述会话样例如下:
Gif 动画01: Linux / Unix: Bash Chroot ls 命令演示
查找服务是否存在于 chrooted 监禁内
你可以用下面两个命令[轻松的找出 Postfix 邮件服务是否已经 chrooted]:
从基本Linux服务中输出样例:
PID 8613 指向了 / (root) 也就是说这个程序的根目录并没有被改变或是被 chroot。这个方法非常的快速而又直接,不需要打开配置文件。下面是从已经 chroot 的 ngnix 服务中得到的另一个例子:
输出样例:
程序的根目录已经改为 /nginxjail。
Ubuntu 14.04 下载、安装、配置的相关知识
Ubuntu 14.04系统下载地址:
Windows 7下硬盘安装Ubuntu 14.04图文教程
本文永久更新链接地址:
愚者用肉体监视心灵,智者用心灵监视肉体