Linux chroot környezet kialakítása
A chroot környezet a minimális konténer futtató környezet bemutatására szolgál. Először a bash shell telepítése és testreszabása történik meg, majd a futtatáshoz szükséges környezetek. Végül a szükséges fájlrendszerek csatlakoztatása.
Létre kell hozni egy könyvtárat. Ez tartalmazza a program futásához szükséges könyvtárakat és fájlokat.
# mkdir -p /opt/program
A szükséges könyvtárak és szimbolikus hivatkozások létrehozása
# mkdir -p /opt/program/usr/bin # ln -s usr/bin /opt/program/bin
A futtatandó shell program másolása a forrásrendszer könyvtárstruktúrájának megfelelően
# cp -a /usr/bin/bash /opt/program/usr/bin/bash
Chroot működésének tesztelése
# chroot /opt/program /usr/bin/bash chroot: failed to run command ‘/usr/bin/bash’: No such file or directory
A program működéséhez szükséges megosztott objektumfájlok listázása.
# ldd /usr/bin/bash linux-vdso.so.1 (0x00007f65ff555000) libtinfo.so.6 => /lib64/libtinfo.so.6 (0x00007f65ff39b000) libc.so.6 => /lib64/libc.so.6 (0x00007f65ff1a7000) /lib64/ld-linux-x86-64.so.2 (0x00007f65ff557000)
A szükséges könyvtárstruktúra létrehozása.
# mkdir /opt/program/usr/lib64 # ln -s usr/lib64 /opt/program/lib64
Állományok másolása. Fontos megjegyezni, hogy a forrás fájlok időnként szimbolikus hivatkozások, így a hivatkozott állományokat is másolni kell.
# cp -a /usr/lib64/libtinfo.so.6* /opt/program/usr/lib64 # cp -a /usr/lib64/libc.so.6* /opt/program/usr/lib64 # cp -a /usr/lib64/ld-linux-x86-64.so.2* /opt/program/usr/lib64
A teljes struktúra a következő
# tree /opt/program
/opt/program
├── bin -> usr/bin
├── lib64 -> usr/lib64
└── usr
├── bin
│ └── bash
└── lib64
├── ld-linux-x86-64.so.2
├── libc.so.6
├── libtinfo.so.6 -> libtinfo.so.6.5
└── libtinfo.so.6.5
Teszteljük a chroot működését
# chroot /opt/program /usr/bin/bash bash-5.3# exit exit
Próbáljuk listázni a chroot környezet tartalmát.
# chroot /opt/program /usr/bin/bash # ls / bash: ls: command not found bash-5.3# exit exit
Mivel nincs ls parancs, telepítsük a chroot könyvtárába. Itt is figyeljünk a megosztott objektumfájlokra.
# ldd /usr/bin/ls linux-vdso.so.1 (0x00007fae7efca000) libselinux.so.1 => /lib64/libselinux.so.1 (0x00007fae7ef5d000) libcap.so.2 => /lib64/libcap.so.2 (0x00007fae7ef51000) libc.so.6 => /lib64/libc.so.6 (0x00007fae7ed5d000) libpcre2-8.so.0 => /lib64/libpcre2-8.so.0 (0x00007fae7ecb0000) /lib64/ld-linux-x86-64.so.2 (0x00007fae7efcc000)
Másolási műveletek.
# cp -a /usr/bin/ls /opt/program/usr/bin/ls # cp -a /usr/lib64/libselinux.so.1* /opt/program/usr/lib64 # cp -a /usr/lib64/libcap.so.2* /opt/program/usr/lib64 # cp -a /usr/lib64/libpcre2-8.so.0* /opt/program/usr/lib64
Ellenőrzés.
# tree /opt/program
# tree /opt/program
/opt/program
├── bin -> usr/bin
├── lib64 -> usr/lib64
└── usr
├── bin
│ ├── bash
│ └── ls
└── lib64
├── ld-linux-x86-64.so.2
├── libcap.so.2 -> libcap.so.2.76
├── libcap.so.2.76
├── libc.so.6
├── libpcre2-8.so.0 -> libpcre2-8.so.0.15.0
├── libpcre2-8.so.0.15.0
├── libselinux.so.1
├── libtinfo.so.6 -> libtinfo.so.6.5
└── libtinfo.so.6.5
Futtassuk a bash programot a chroot környezetben és listázzuk a fájlokat.
# chroot /opt/program /usr/bin/bash bash-5.3# ls -l / total 4 lrwxrwxrwx. 1 0 0 7 Dec 1 07:13 bin -> usr/bin lrwxrwxrwx. 1 0 0 9 Dec 1 07:20 lib64 -> usr/lib64 drwxr-xr-x. 4 0 0 4096 Dec 1 07:20 usr
Az ls parancs közvetlenül hívható, nem szükséges a shell. Így működnek a konténerek is. Ott az entrypoint lesz a program ami a konténer indításakor automatikusan lefut.
# chroot /opt/program /usr/bin/ls -l / total 4 lrwxrwxrwx. 1 0 0 7 Dec 1 07:13 bin -> usr/bin lrwxrwxrwx. 1 0 0 9 Dec 1 07:20 lib64 -> usr/lib64 drwxr-xr-x. 4 0 0 4096 Dec 1 07:20 usr
Ha elhagyjuk a chroot második paraméterében a futtatandó programot, akkor automatikusan a /bin/bash indul.
# chroot /opt/program /bin/bash bash-5.3# exit exit # chroot /opt/program bash-5.3# exit exit
Programok egy részének futtatásához szükség van a /proc, a /sys és néha a /dev könyvtárakra. Ezek a könyvtárak csatlakoztathatók többféle módszerrel. A könyvtárakat előre létre kell hozni a chroot környezetben.
# mkdir /opt/program/dev # mkdir /opt/program/proc # mkdir /opt/program/sys
A /proc fájlrendszer kezelése
A /proc fájlrendszer csatlakoztatása (1. módszer)
# mount -t proc proc /opt/program/proc # chroot /opt/program /usr/bin/ls /proc 1 18846 21 2439 37 5 7369 9817 kpagecgroup 10 18950 2119 2444 3716 50 744 9818 kpagecount ...
A /proc fájlrendszer leválasztása.
# umount /opt/program/proc
A /proc fájlrendszer csatlakoztatása (2. módszer)
# mount --bind /proc /opt/program/proc # chroot /opt/program /usr/bin/ls /proc 1 18846 21 2439 37 5 7369 9817 kpagecgroup 10 18950 2119 2444 3716 50 744 9818 kpagecount ...
A /proc fájlrendszer leválasztása.
# umount /opt/program/proc
A /sys fájlrendszer kezelése
A /sys fájlrendszer csatlakoztatása (1. módszer)
# mount -t sysfs none /opt/program/sys # chroot /opt/program /usr/bin/ls /sys block class devices fs kernel power bus dev firmware hypervisor module
A /sys fájlrendszer leválasztása.
# umount /opt/program/sys
A /sys fájlrendszer csatlakoztatása (2. módszer)
# mount --bind /sys /opt/program/sys # chroot /opt/program /usr/bin/ls /sys block class devices fs kernel power bus dev firmware hypervisor module
A /sys fájlrendszer leválasztása.
# umount /opt/program/proc
A /sys fájlrendszer kezelése
A /dev fájlrendszer csatlakoztatása
# mount --bind /dev /opt/program/dev # chroot /opt/program /usr/bin/ls /dev autofs log sgx_vepc tty34 ttyS10 userfaultfd block loop-control shm tty35 ttyS11 v4l ...
A /dev fájlrendszer leválasztása.
# umount /opt/program/dev
Az elkészült chroot környezet kiegészíthető további állományokkal, programokkal.
# tree /opt/program/
/opt/program/
├── bin -> usr/bin
├── dev
├── lib64 -> usr/lib64
├── proc
├── sys
└── usr
├── bin
│ ├── bash
│ └── ls
└── lib64
├── ld-linux-x86-64.so.2
├── libcap.so.2 -> libcap.so.2.76
├── libcap.so.2.76
├── libc.so.6
├── libpcre2-8.so.0 -> libpcre2-8.so.0.15.0
├── libpcre2-8.so.0.15.0
├── libselinux.so.1
├── libtinfo.so.6 -> libtinfo.so.6.5
└── libtinfo.so.6.5