Chroot通過更改流程目錄的流程目錄來提供輕型文件系統(tǒng)隔離，可用於測試，恢復(fù)或構(gòu)建； 1。了解Chroot僅隔離文件系統(tǒng)，而不是安全性，網(wǎng)絡(luò)或進(jìn)程，因此它不是沙盒。 2。使用Debian/Ubuntu或同等工具的DeBootstrap設(shè)置環(huán)境，避免複製手動； 3。通過安裝綁定的基本目錄做準(zhǔn)備，例如 /proc， /sys， /dev， /dev /pts和 /run，並複制DNS的 /eTing /etc/resolv.conf； 4。使用sudo chroot/path/to/root/bin/bash進(jìn)入環(huán)境，並在隔離文件系統(tǒng)中運行； 5。退出外殼並以相反的順序結(jié)合安裝以清理； 6.直接運行非交互命令，例如sudo chroot/path/to/root/usr/bin/command，確保存在所有依賴關(guān)係，權(quán)限是正確的，並且配置了時區(qū)和主機名（例如時區(qū)和主機名），從而使Chroot有效地對受控的任務(wù)有效，但不足以實現(xiàn)強安全隔離。

使用chroot創(chuàng)建孤立的Linux環(huán)境是一種輕巧的方式，可以在受控的，分離的文件系統(tǒng)中運行命令或服務(wù)。雖然不如容器（例如Docker或LXC）那麼安全或孤立，但chroot更改了跑步過程及其子女的明顯根目錄 - 可用於系統(tǒng)恢復(fù)，測試或在乾淨(jìng)的環(huán)境中構(gòu)建軟件。

這是有效使用chroot的方法。

1。了解chroot基礎(chǔ)知識

chroot運行具有不同根目錄的命令。這意味著該過程無法訪問新根部之外的文件。例如：

 chroot/path/to/newroot/bin/bash

運行此之後， /path/to/newroot將變成/在外殼內(nèi)部。

??限制：

• chroot不是安全沙箱。特權(quán)過程通常可以逃脫。
• 它不隔離網(wǎng)絡(luò)，過程或用戶，而不是文件系統(tǒng)。

將其用於測試，恢復(fù)或建築物，而不是強烈的隔離。

2.設(shè)置Chroot環(huán)境

您需要在目錄內(nèi)最小的Linux系統(tǒng)。這是創(chuàng)建一個方法。

選項A：帶有DEBOOTSTRAP（Debian/Ubuntu）的引導(dǎo)程序

安裝debootstrap ：

 sudo apt install debootstrap

創(chuàng)建Chroot目錄並安裝最小系統(tǒng)：

 sudo debootstrap焦點/opt/chroot-ubuntu http://archive.ubuntu.com/ubuntu/

這將Ubuntu 20.04（焦點）安裝到/opt/chroot-ubuntu中。

選項B：手動副本（不建議）

您可以復(fù)制/bin ， /sbin ， /lib*等，但容易出錯。使用debootstrap或dnf --installroot （在Fedora上）之類的工具。

3。在chroot之前準(zhǔn)備環(huán)境

在輸入chroot之前，綁定安裝密鑰系統(tǒng)目錄使基本命令工作。

 sudo mount -t proc /proc /opt /chroot -ubuntu /proc
sudo mount -t sysfs /sys /opt /opt /chroot -ubuntu /sys
sudo安裝-o綁定 /dev /opt /chroot -ubuntu /dev
sudo mount -o bind/dev/pts/opt/chroot -ubuntu/dev/pts
sudo mount -o bind /run /opt /opt /chroot -ubuntu /for systemd Services

另外，複製DNS設(shè)置：

 sudo cp /etc/resolv.conf/opt/chroot-ubuntu/etc/resolv.conf

4。進(jìn)入chroot環(huán)境

現(xiàn)在，用外殼進(jìn)入Chroot：

 sudo chroot /opt /chroot-ubuntu /bin /bash

您現(xiàn)在“內(nèi)部”孤立的環(huán)境。根為/opt/chroot-ubuntu ，您可以：

• 安裝軟件包： apt update && apt install vim
• 測試軟件
• 重建系統(tǒng)組件

更改提示以避免混亂：

導(dǎo)出ps1 =“（chroot）$ ps1”

5。退出和清理

退出：

出口

然後卸載綁定安裝：

 sudo umount/opt/chroot-ubuntu/proc
sudo umount/opt/chroot-ubuntu/sys
sudo umount/opt/chroot-ubuntu/dev/pts
sudo umount/opt/chroot-ubuntu/dev
sudo umount/opt/chroot-ubuntu/run

??總是以相反的順序卸載，並確保沒有任何使用Chroot。

6.運行命令非交互性

您可以在沒有外殼的情況下運行單個命令：

 sudo chroot/opt/chroot-ubuntu/usr/bin/apt- version

在腳本或CI/CD管道中有用。

提示和陷阱

• 依賴項：確保存在所有必需的二進(jìn)製文件和庫。缺少/lib64/ld-linux.so ？您忘記了基本系統(tǒng)文件。
• 權(quán)限：始終使用sudo - chroot需要詞根。
• 主機名：使用hostname yourname或edit /etc/hostname將其設(shè)置在Chroot中。
• TimeZone ：主機複製： sudo cp /etc/localtime /opt/chroot-ubuntu/etc/localtime

基本上， chroot為您提供了一種快速，簡單的方法來砂盒一個文件系統(tǒng)環(huán)境 - 恢復(fù)或測試，但不要依靠它來安全。當(dāng)需要更強的隔離時，將其與名稱空間或容器結(jié)合使用。

以上是如何使用' chroot”創(chuàng)建孤立的Linux環(huán)境的詳細(xì)內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！