Làm thế nào để tôi nói tôi đang chạy trong một chroot?

Tôi có một bản cài đặt unix được cho là có thể sử dụng được cả dưới dạng chroot và như một hệ thống độc lập. Nếu nó chạy như một chroot, tôi không muốn chạy bất kỳ dịch vụ nào (cron, inetd, v.v.), vì chúng sẽ xung đột với hệ thống máy chủ hoặc là dự phòng.

Làm cách nào để tôi viết một tập lệnh shell hoạt động khác nhau tùy thuộc vào việc nó có chạy trong một chroot không? Nhu cầu trước mắt của tôi là một hệ thống Linux hiện đại, /procđược gắn trong chroot và tập lệnh đang chạy với quyền root, nhưng cũng có nhiều câu trả lời di động hơn. (Xem Làm thế nào để tôi biết tôi đang chạy trong một chroot nếu / Proc không được gắn kết? Đối với trường hợp Linux không có /proc.)

Tổng quát hơn, các đề xuất hoạt động cho các phương pháp ngăn chặn khác sẽ rất thú vị. Câu hỏi thực tế là, hệ thống này có được cho là đang chạy bất kỳ dịch vụ nào không? (Câu trả lời là không có trong một chroot, và có trong một máy ảo chính thức; tôi không biết về các trường hợp trung gian như nhà tù hoặc container.)

Những gì tôi đã làm ở đây là kiểm tra xem gốc của initquy trình (PID 1) có giống với gốc của quy trình hiện tại hay không. Mặc dù /proc/1/rootluôn luôn là một liên kết đến /(trừ khi initbản thân nó bị chroot, nhưng đó không phải là trường hợp tôi quan tâm), theo sau nó dẫn đến thư mục gốc của chủ master. Kỹ thuật này được sử dụng trong một vài tập lệnh bảo trì trong Debian, ví dụ như bỏ qua việc bắt đầu udev sau khi cài đặt trong một chroot.

if [ "$(stat -c %d:%i /)" != "$(stat -c %d:%i /proc/1/root/.)" ]; then
  echo "We are chrooted!"
else
  echo "Business as usual"
fi

(Bằng cách này, đây là một ví dụ nữa về việc tại sao chrootlà vô ích đối với an ninh nếu quá trình chroot có quyền truy cập root. Quá trình phi gốc không thể đọc được /proc/1/root, nhưng họ có thể làm theo /proc/1234/rootnếu có một quá trình chạy với PID 1234 chạy như giống nhau người dùng.)

Nếu bạn không có quyền root, bạn có thể xem /proc/1/mountinfovà /proc/$$/mountinfo(ghi lại ngắn gọn trong filesystems/proc.txttài liệu nhân Linux ). Tệp này có thể đọc được trên thế giới và chứa nhiều thông tin về từng điểm gắn kết trong chế độ xem của hệ thống tệp. Các đường dẫn trong tệp đó bị hạn chế bởi chroot ảnh hưởng đến quá trình đọc, nếu có. Nếu quá trình đọc /proc/1/mountinfođược chroot vào một hệ thống tập tin khác với root toàn cầu (giả sử root của pid 1 là root toàn cầu), thì không có mục nào /xuất hiện trong /proc/1/mountinfo. Nếu quá trình đọc /proc/1/mountinfođược chroot vào một thư mục trên hệ thống tập tin gốc toàn cầu, thì một mục nhập /sẽ xuất hiện /proc/1/mountinfo, nhưng với một id gắn kết khác. Ngẫu nhiên, trường gốc ($4) cho biết vị trí của chroot trong hệ thống tập tin chính của nó.

[ "$(awk '$5=="/" {print $1}' </proc/1/mountinfo)" != "$(awk '$5=="/" {print $1}' </proc/$$/mountinfo)" ]

Đây là một giải pháp Linux thuần túy. Nó có thể khái quát với các biến thể Unix khác có đủ độ tương tự /proc(Solaris có một điểm tương tự /proc/1/root, tôi nghĩ vậy, nhưng không mountinfo).

Như đã đề cập trong Cách di động để tìm số inode và Phát hiện nhà tù chroot từ bên trong , bạn có thể kiểm tra xem số inode của /là 2:

$ ls -di /
2 /

Một số inode khác với 2 chỉ ra rằng gốc rõ ràng không phải là gốc thực sự của một hệ thống tập tin. Điều này sẽ không phát hiện ra các chroots xảy ra bắt nguồn từ một điểm gắn kết hoặc trên các hệ điều hành có số inode gốc ngẫu nhiên .

Mặc dù rõ ràng không dễ mang theo như nhiều tùy chọn khác được liệt kê ở đây, nếu bạn đang sử dụng hệ thống dựa trên Debian, hãy thử ischroot.

Xem: https://manpages.debian.org/jessie/debianutils/ischroot.1.en.html

Để nhận trạng thái trong bảng điều khiển trực tiếp, sử dụng ischroot:

ischroot;echo $?

Mã thoát:

0 if currently running in a chroot
1 if currently not running in a chroot
2 if the detection is not possible (On GNU/Linux this happens if the script is not run as root).