Chroot隔离文件-蒲公英云

文章目录

- （1）原理
- （2）命令介绍
- （3）示例

（1）原理

首先要知道，人们使用容器的最初目的，并不是为了部署软件，而是为了隔离计算机中的各类资源，以便降低软件开发、测试阶段可能产生的误操作风险，或者是专门充当蜜罐，吸引黑客的攻击，以便监视黑客的行为。

容器的起点呢，可以追溯到 1979 年Version 7 UNIX系统中提供的 chroot 命令，这个命令是英文单词“Change Root”的缩写，它所具备的功能是当某个进程经过 chroot 操作之后，它的根目录就会被锁定在命令参数所指定的位置，以后它或者它的子进程就不能再访问和操作该目录之外的其他文件。

1991 年，世界上第一个监控黑客行动的蜜罐程序就是使用 chroot 来实现的，那个参数指定的根目录当时被作者被戏称为“Chroot 监狱”（Chroot Jail），而黑客突破 chroot 限制的方法就叫做 Jailbreak。后来，FreeBSD 4.0 系统重新实现了 chroot 命令，把它作为系统中进程沙箱隔离的基础，并将其命名为FreeBSD jail。

chroot是起源于Unix系统的一个操作，作用于正在运行的进程和它的子进程，改变它外显的根目录。一个运行在这个环境下，经由chroot设定根目录的程式，它不能够对这个指定根目录之外的档案进行存取动作，不能读取，也不能更改它的内容。chroot这一特殊表达可以指chroot(2)系统调用或chroot(8)应用程序。

所谓的改变root目录，其实就是改变进程的taskstruct中fs结构体中的root字段，实现不同的根目录查询。从实现角度看， chroot的确不能实现安全的环境隔离。

（2）命令介绍

chroot命令用来在指定的根目录下运行指令。chroot，即 change root directory （更改 root 目录）。在 linux 系统中，系统默认的目录结构都是以/，即是以根 (root) 开始的。而在使用 chroot 之后，系统的目录结构将以指定的位置作为/位置。

在经过 chroot 命令之后，系统读取到的目录和文件将不在是旧系统根下的而是新根下（即被指定的新的位置）的目录结构和文件，因此它带来的好处大致有以下3个：

【1】增加了系统的安全性，限制了用户的权力：

在经过 chroot 之后，在新根下将访问不到旧系统的根目录结构和文件，这样就增强了系统的安全性。这个一般是在登录 (login) 前使用 chroot，以此达到用户不能访问一些特定的文件。

【2】建立一个与原系统隔离的系统目录结构，方便用户的开发：

使用 chroot 后，系统读取的是新根下的目录和文件，这是一个与原系统根下文件不相关的目录结构。在这个新的环境中，可以用来测试软件的静态编译以及一些与系统不相关的独立开发。

【3】切换系统的根目录位置，引导 Linux 系统启动以及急救系统等：

chroot 的作用就是切换系统的根位置，而这个作用最为明显的是在系统初始引导磁盘的处理过程中使用，从初始 RAM 磁盘 (initrd) 切换系统的根位置并执行真正的 init。另外，当系统出现一些问题时，我们也可以使用 chroot 来切换到一个临时的系统。

【语法】
chroot(选项)(参数)
【选项】
–help：在线帮助；
–version：显示版本信息。
【参数】
目录：指定新的根目录；
指令：指定要执行的指令。

（3）示例

首先我们在当前目录下创建一个 rootfs 目录：
在这里插入图片描述

使用现成的 busybox 镜像来创建一个系统

cd rootfs 
docker export $(docker create busybox) -o busybox.tar
tar -xf busybox.tar

执行完上面的命令后，在 rootfs 目录下，我们会得到一些目录和文件。下面我们使用 ls 命令查看一下 rootfs 目录下的内容。
在这里插入图片描述
可以看到我们在 rootfs 目录下初始化了一些目录，下面让我们通过一条命令来见证 chroot 的神奇之处。使用以下命令，可以启动一个 sh 进程，并且把 /home/docker/rootfs 作为 sh 进程的根目录。