O chrootcomando pode mandá-lo para a prisão, manter seus ambientes de desenvolvimento ou teste isolados ou apenas melhorar a segurança do seu sistema. Mostramos a maneira mais fácil de usá-lo.
Índice
O que é um chroot?
Se você tentar medir a utilidade de um comando, deve levar em consideração a funcionalidade que ele oferece e sua facilidade de uso. Se for muito complicado para as pessoas usarem ou muito prolixo para fazê-las querer tentar usá-lo, a funcionalidade pode ser zero. Se ninguém o usa, ele não fornece nenhuma funcionalidade.
Em discussões com usuários Linux – pessoalmente e em fóruns – parece que o chrootcomando é considerado difícil de usar ou muito complicado e tedioso de configurar. Parece que esse utilitário incrível não é usado tanto quanto deveria.
Com chrootvocê pode configurar e executar programas ou shells interativos como o Bash em um sistema de arquivos encapsulado que é impedido de interagir com seu sistema de arquivos regular. Tudo dentro do chrootambiente é escrito e contido. Nada no chrootambiente pode ver além de seu próprio diretório raiz especial sem escalar para privilégios de raiz. Isso rendeu a esse tipo de ambiente o apelido de chrootprisão. O termo “prisão” não deve ser confundido com o jail comando do FreeBSD , que cria um chrootambiente que é mais seguro do que o chrootambiente normal .
Mas, na verdade, há uma maneira muito simples de usar chroot, que vamos seguir adiante. Estamos usando comandos regulares do Linux que funcionarão em todas as distribuições. Algumas distribuições Linux têm ferramentas dedicadas para configurar chrootambientes, como debootstrap para Ubuntu, mas estamos sendo distro-agnósticos aqui.
Quando você deve usar um chroot?
Um chrootambiente oferece funcionalidade semelhante à de uma máquina virtual, mas é uma solução mais leve. O sistema cativo não precisa de um hipervisor para ser instalado e configurado, como VirtualBox ou Virtual Machine Manager . Nem precisa ter um kernel instalado no sistema cativo. O sistema cativo compartilha seu kernel existente.
Em alguns chrootaspectos , os ambientes estão mais próximos de contêineres como LXC do que de máquinas virtuais. Eles são leves, rápidos de implantar e a criação e ativação de um pode ser automatizada. Como os contêineres, uma maneira conveniente de configurá-los é instalar apenas o suficiente do sistema operacional para realizar o que é necessário. A pergunta “o que é necessário” é respondida observando-se como você usará seu chrootambiente.
Alguns usos comuns são:
Desenvolvimento de software e verificação de produto . Os desenvolvedores escrevem o software e a equipe de verificação de produto (PV) o testa. Às vezes, problemas são encontrados pelo PV que não podem ser replicados no computador do desenvolvedor. O desenvolvedor tem todos os tipos de ferramentas e bibliotecas instaladas em seu computador de desenvolvimento que o usuário médio – e PV – não têm. Freqüentemente, um novo software que funciona para o desenvolvedor, mas não para outros, acaba usando um recurso no PC do desenvolvedor que não foi incluído na versão de teste do software. chrootpermite que os desenvolvedores tenham um ambiente simples em cativeiro em seu computador, no qual possam mergulhar o software antes de entregá-lo ao PV. O ambiente cativo pode ser configurado com as dependências mínimas que o software requer.
Reduzindo o risco de desenvolvimento . O desenvolvedor pode criar um ambiente de desenvolvimento dedicado para que nada do que aconteça possa atrapalhar seu PC real.
Executando software obsoleto . Às vezes, você só precisa ter uma versão antiga de algo em execução. Se o software antigo tiver requisitos que conflitem ou sejam incompatíveis com sua versão do Linux, você pode chrootcriar um ambiente para o software com problema.
Recuperação e atualizações do sistema de arquivos : Se uma instalação do Linux se tornar inoperante, você pode usar chrootpara montar o sistema de arquivos danificado em um ponto de montagem em um Live CD. Isso permite que você trabalhe no sistema danificado e tente consertá-lo como se ele estivesse montado normalmente em root /. Isso significa que os caminhos de arquivo esperados no sistema danificado serão referenciados corretamente a partir do diretório raiz e não do ponto de montagem do Live CD. Uma técnica semelhante foi usada no artigo que descreve como migrar o sistema de arquivos Linux de ext2 ou ext3 para ext4.
Aplicativos de ringfencing . Executar um servidor FTP ou outro dispositivo conectado à Internet dentro de um chrootambiente limita os danos que um invasor externo pode causar. Essa pode ser uma etapa valiosa para fortalecer a segurança do seu sistema.
Criando um ambiente chroot
Precisamos de um diretório para atuar como o diretório raiz do chrootambiente. Para termos uma forma abreviada de nos referir a esse diretório, criaremos uma variável e armazenaremos o nome do diretório nela. Aqui, estamos configurando uma variável para armazenar um caminho para o diretório “testroot”. Não importa se esse diretório ainda não existe, vamos criá-lo em breve. Se o diretório existir, ele deve estar vazio.
chr = / home / dave / testroot
Se o diretório não existir, precisamos criá-lo. Podemos fazer isso com este comando. A -popção (pais) garante que todos os diretórios pais ausentes sejam criados ao mesmo tempo:
mkdir -p $ chr
Precisamos criar diretórios para conter as partes do sistema operacional que nosso chrootambiente exigirá. Vamos configurar um ambiente Linux minimalista que usa o Bash como shell interativo. Também vamos incluir os touch, rme ls comandos. Isso nos permitirá usar todos do Bash built-in comandos e touch, rme ls. Seremos capazes de criar, listar e remover arquivos e usar o Bash. E – neste exemplo simples – isso é tudo.
Liste os diretórios que você precisa criar dentro da {} expansão da chave .
mkdir -p $ chr / {bin, lib, lib64}
Agora vamos mudar o diretório para o nosso novo diretório raiz.
cd $ chr
Vamos copiar os binários que precisamos em nosso ambiente Linux minimalista de seu diretório regular “/ bin” para nosso diretório chroot“/ bin”. A -v opção (detalhada) cp nos informa o que está fazendo ao executar cada ação de cópia.
cp -v / bin / {bash, touch, ls, rm} $ chr
Os arquivos são copiados para nós:
Esses binários terão dependências. Precisamos descobrir o que são e copiar esses arquivos para o nosso meio ambiente, bem como, de outra forma bash, touch, rm, e lsnão será capaz de funcionar. Precisamos fazer isso sucessivamente para cada um de nossos comandos escolhidos. Faremos o Bash primeiro. O lddcomando listará as dependências para nós.
ldd / bin / bash
As dependências são identificadas e listadas na janela do terminal:
Precisamos copiar esses arquivos em nosso novo ambiente. Escolher os detalhes dessa lista e copiá-los um por vez vai ser demorado e sujeito a erros.
Felizmente, podemos semi-automatizá-lo. Listaremos as dependências novamente e, desta vez, formaremos uma lista. Em seguida, percorreremos a lista copiando os arquivos.
Aqui estamos usando lddpara listar as dependências e alimentar os resultados por meio de um pipe em egrep. Usar egrepé o mesmo que usar grepcom a opção -E(expressões regulares estendidas). A opção -o(apenas correspondência) restringe a saída às partes correspondentes das linhas. Estamos procurando por arquivos de biblioteca correspondentes que terminem em um número [0-9].
list = "$ (ldd / bin / bash | egrep -o '/lib.*\.[0-9]')"
![list = "$ (ldd / bin / bash | egrep -o '/lib.*\.[0-9]')" em uma janela de terminal](https://maisgeek.com/wp-content/uploads/2020/10/9-5-4.png)
Podemos verificar o conteúdo da lista usando echo:
echo $ list
Agora que temos a lista, podemos percorrê-la com o seguinte loop, copiando os arquivos um de cada vez. Estamos usando a variável ipara percorrer a lista. Para cada membro da lista, copiamos o arquivo para nosso chrootdiretório raiz, que é o valor mantido em $chr.
A -v opção (detalhada) faz cpcom que cada cópia seja anunciada à medida que a executa. A --parentsopção garante que todos os diretórios pais ausentes sejam criados no chrootambiente.
para i em $ list; faça cp -v --parents "$ i" "$ {chr}"; feito
E esta é a saída:
Usaremos essa técnica para capturar as dependências de cada um dos outros comandos. E usaremos a técnica de loop para realizar a cópia real. A boa notícia é que só precisamos fazer uma pequena edição no comando que reúne as dependências.
Podemos recuperar o comando de nosso histórico de comandos pressionando a Up Arrowtecla algumas vezes e, em seguida, fazer a edição. O comando de cópia em loop não precisa ser alterado.
Aqui, usamos a Up Arrowchave para encontrar o comando e a editamos para dizer em touchvez de bash.
list = "$ (ldd / bin / touch | egrep -o '/lib.*\.[0-9]')"
![list = "$ (ldd / bin / touch | egrep -o '/lib.*\.[0-9]')" em uma janela de terminal](https://maisgeek.com/wp-content/uploads/2020/10/x13-3.pagespeed.gp-jp-jw-pj-ws-js-rj-rp-rw-ri-cp-md.ic_.U3WgXm67Fc.png)
Agora podemos repetir exatamente o mesmo comando de loop de antes:
para i em $ list; faça cp -v --parents "$ i" "$ {chr}"; feito
E nossos arquivos são copiados para nós:
Agora podemos editar a listlinha de comando para ls:
list = "$ (ldd / bin / ls | egrep -o '/lib.*\.[0-9]')"
![list = "$ (ldd / bin / ls | egrep -o '/lib.*\.[0-9]')" em uma janela de terminal](https://maisgeek.com/wp-content/uploads/2020/10/16-3-5.png)
Novamente, usaremos o mesmo comando de loop. Não importa quais arquivos estão na lista. Ele analisa cegamente a lista, copiando os arquivos para nós.
para i em $ list; faça cp -v --parents "$ i" "$ {chr}"; feito
E as dependências de lssão copiadas para nós:
Editamos a listlinha de comando pela última vez, fazendo com que funcione para rm:
list = "$ (ldd / bin / ls | egrep -o '/lib.*\.[0-9]')"
![list = "$ (ldd / bin / ls | egrep -o '/lib.*\.[0-9]')" em uma janela de terminal](https://maisgeek.com/wp-content/uploads/2020/10/x19-4.pagespeed.gp-jp-jw-pj-ws-js-rj-rp-rw-ri-cp-md.ic_.iNWWDVxxBU.png)
Usamos o comando de cópia em loop uma última vez:
para i em $ list; faça cp -v --parents "$ i" "$ {chr}"; feitoA última de nossas dependências é copiada em nosso chrootambiente. Finalmente estamos prontos para usar o chrootcomando. Este comando define a raiz do chrootambiente e especifica qual aplicativo deve ser executado como o shell.
sudo chroot $ chr / bin / bash
Nosso chrootambiente agora está ativo. O prompt da janela do terminal mudou e o shell interativo está sendo manipulado pelo bashshell em nosso ambiente.
Podemos experimentar os comandos que trouxemos para o ambiente.
ls
ls / home / dave / Documentos
O lscomando funciona como esperamos quando o usamos dentro do ambiente. Quando tentamos acessar um diretório fora do ambiente, o comando falha.
Podemos usar touchpara criar um arquivo, lslistá-lo e rmremovê-lo.
toque em sample_file.txt
ls
rm sample_file.txt
ls
Claro, também podemos usar os comandos integrados que o shell Bash fornece. Se você digitar helpna linha de comando, o Bash os listará para você.
Socorro
Use a saída para deixar o chrootambiente:
Saída
Se você deseja remover o chrootambiente, pode simplesmente excluí-lo:
rm -r testroot /
Isso excluirá recursivamente os arquivos e diretórios no chrootambiente.
Automatize para maior conveniência
Se você está pensando que os chrootambientes podem ser úteis para você, mas eles são um pouco complicados de configurar, lembre-se de que você sempre pode tirar o esforço e o risco de tarefas repetitivas usando aliases, funções e scripts.
