chroot,即 change root directory (更改 root 目录) 。在 linux 系统中,系统预设的目录结构都是以 /,即以根 (root) 开始的。而在使用 chroot 之后,系统的目录结构将以指定的位置作为 / 位置。
基本语法
chroot NEWROOT [COMMAND [ARG]…]
具体用法请参考本文的 demo 。
为什么要使用 chroot 命令
增加了系统的安全性,限制了使用者的权力:
在经过 chroot 之后,在新根下将访问不到旧系统的根目录结构和档案,这样就增强了系统的安全性。一般会在使用者登入前应用 chroot,把使用者的访问能力控制在一定的范围之内。
建立一个与原系统隔离的系统目录结构,方便使用者的开发:
使用 chroot 后,系统读取的是新根下的目录和档案,这是一个与原系统根下档案不相关的目录结构。在这个新的环境中,可以用来测试站群软件的静态编译以及一些与系统不相关的独立开发。
切换系统的根目录位置,引导 Linux 系统启动以及急救系统等:
chroot 的作用就是切换系统的根位置,而这个作用最为明显的是在系统初始引导磁碟的处理过程中使用,从初始 RAM 磁碟 (initrd) 切换系统的根位置并执行真正的 init,本文的最后一个 demo 会详细的介绍这种用法。
通过 chroot 执行 busybox 工具
busybox 包含了丰富的工具,我们可以把这些工具放置在一个目录下,然后通过 chroot 构造出一个 mini 系统。简单起见我们直接使用 docker 的 busybox 镜像站群打包的档案系统。先在当前目录下建立一个目录 rootfs:
$ mkdir rootfs
然后把 busybox 镜像站群中的档案释放到这个目录中:
$ (docker export $(docker create busybox) | tar -C rootfs -xvf -)
通过 ls 命令检视 rootfs 资料夹下的内容:
$ ls rootfs
万事俱备,让我们开始吧!
执行 chroot 后的 ls 命令
$ sudo chroot rootfs /bin/ls
虽然输出结果与刚才执行的 ls rootfs 命令形同,但是这次执行的命令却是 rootfs/bin/ls 。
执行 chroot 后的 pwd 命令
$ sudo chroot rootfs /bin/pwd
哈,pwd 命令真把 rootfs 目录当根目录了!
不带命令执行 chroot
$ sudo chroot rootfs
这次出错了,因为找不到 /bin/bash 。我们知道 busybox 中是不包含 bash 的,但是 chroot 命令为什么会找 bash 命令呢? 原来,如果不给 chroot 指定执行的命令,预设它会执行 ‘${SHELL} -i’,而我的系统中 ${SHELL} 为 /bin/bash 。
既然 busybox 中没有 bash,我们只好指定 /bin/sh 来执行 shell 了。
$ sudo chroot rootfs /bin/sh
执行 sh 是没有问题的,并且我们列印出了当前程序的 PID 。
检查程式是否执行在 chroot 环境下
虽然我们做了好几个实验,但是肯定会有朋友心存疑问,怎么能证明我们执行的命令就是在 chroot 目录后的路径中呢?
其实,我们可以通过 /proc 目录下的档案检查程序的中的根目录,比如我们可以通过下面的程式码检查上面执行的 /bin/sh 命令的根目录 (请在另外一个 shell 中执行):
$ pid=$(pidof -s sh)
$ sudo ls -ld /proc/$pid/root
输出中的内容明确的指出 PID 为 46644 的程序的根目录被对映到了 /tmp/rootfs 目录。
通过程式码理解 chroot 命令
下面我们尝试自己实现一个 chroot 程式,程式码中涉及到两个函式,分别是 chroot() 函式和 chdir() 函式,其实真正的 chroot 命令也是通过呼叫它们实现的:
#include
#include
#include
int main(int argc, char *argv[])
{
if(argc<2){
printf("Usage: chroot NEWROOT [COMMAND...] n");
return 1;
}
if(chroot(argv[1])) {
perror("chroot");
return 1;
}
if(chdir("/")) {
perror("chdir");
return 1;
}
if(argc == 2) {
// hardcode /bin/sh for my busybox tools.
argv[0] = (char *)"/bin/sh";
argv[1] = (char *) "-i";
argv[2] = NULL;
} else {
argv += 2;
}
execvp (argv[0], argv);
printf("chroot: cannot run command `%s`n", *argv);
return 0;
}
把上面的程式码储存到档案 mychroot.c 档案中,并执行下面的命令进行编译:
$ gcc -Wall mychroot.c -o mychroot
mychroot 的用法和 chroot 基本相同:
$ sudo ./mychroot ./rootfs
特别之处是我们的 mychroot 在没有传递命令的情况下执行了 /bin/sh,原因当然是为了支援我们的 busybox 工具集,笔者在程式码中 hardcode 了预设的 shell:
argv[0] = (char *)"/bin/sh";
从程式码中我们也可以看到,实现 chroot 命令的核心逻辑其实并不复杂。
例项:通过 chroot 重新设定 root 密码
忘记了 root 密码该怎么办?接下来的 demo 将演示如何通过 chroot 命令重新设定 centos7 中被忘记了的 root 密码。
systemd 的管理机制中,rescure 模式和 emeryency 模式是无法直接取得 root 许可权的,需要使用 root 密码才能进入 rescure 和 emeryency 环境。所以我们需要通过其他方式来设定 root 密码。我们可以为核心的启动指定 “rd.break” 引数,从而让系统在启动的早期停下来,此时我们可以通过使用 root 许可权并结合 chroot 命令完成设定 root 密码的操作。下面我们一起来看具体的操作过程。
在系统启动过程中进入开机选单时按下字母键 e 程序开机选单的编辑模式:
这就是系统的开机选单,按下 e 后进入编辑介面:
找到以 “linux16 /vmlinuz-” 开头的行。如果预设没有看到该行,需要按向下键把它滚动出来。
然后定位到该行结尾处,输入一个空格和字串 “rd.break”,如下图所示:
接著按下 ctrl + x 以该设定继续启动,启动过程中操作系统会停下来,这是系统启动过程中的一个非常早的时间点:
所以系统的根目录还挂载在 RAM disk 上 (就是内存中的一个档案系统),我们可以通过 mount 命令检查系统当前挂载的档案系统,下面是我们比较关心的两条:
上图中 mount 命令输出的第一行说明此时的根目录在一个 RAM disk 中, 即 rootfs 。
图中输出的第二行说明我们的档案系统此时被挂载到了 /sysroot 目录,并且是只读的模式:
复制程式码程式码如下:
/dev/mapper/centos-root on /sysroot type xfs (ro,relatime,attr2,inode64,noquota)
而在我们正常登陆系统的情况下,系统根目录的挂载情况如下:
复制程式码程式码如下:
/dev/mapper/centos-root on / type xfs (rw,relatime,seclabel,attr2,inode64,noquota)
该时间点的最大优势是我们具有 root 许可权!所以让我们开始设定新的 root 密码吧。
先通过下面的命令把 /sysroot 重新挂载为可读写的模式:
switch_root:/# mount -o remount,rw /sysroot
然后用下面 chroot 命令把根目录切换到我们原来的环境中:
switch_root:/# chroot /sysroot
此时可以理解为:我们以 root 许可权登入了原来的系统,修改密码就很容易了!用下面的命令为 root 使用者设定新的密码:
sh-4.2# echo "new_root_pw" | passwd --stdin root
接下来还要处理 SELinux 相关的问题。由于当前的环境中 SELinux 并未启动,所以我们对档案的修改可能造成档案的 context 不正确。为了确保开机时重新设定 SELinux context,必须在根目录下新增隐藏档案 .autorelabel:
sh-4.2# touch /.autorelabel
最后从 chroot 中退出,并重启系统:
sh-4.2# exit
switch_root:/# reboot
重新进入登陆介面时就可以使用刚才设定的密码以 root 登陆了!
总结
chroot 是一个很有意思的命令,我们可以用它来简单的实现档案系统的隔离。但在一个容器技术繁荣的时代,用 chroot 来进行资源的隔离实在是 low 了点。所以 chroot 的主要用途还是集中在系统救援、维护等一些特殊的场景中。