chroot 隔離環境的建置與應用

chroot 隔離環境的建置與應用

在 Linux 系統管理與開發中，chroot（Change Root）是一個強大且基礎的工具。它允許我們將某個目錄設為新的根目錄（/），從而創建一個隔離的文件系統環境。這種技術常被用於系統救援、軟體開發沙盒、以及構建最小化運行環境。雖然 Docker 等容器技術日益普及，但理解 chroot 的原理對於深入掌握 Linux 文件系統結構依然至關重要。

本文將以 Ubuntu 22.04 或 Debian 12 為基礎，詳細介紹如何手動建置一個簡單的 chroot 環境，並探討其實際應用與常見陷阱。

前置準備：建立目標目錄結構

要使用 chroot，我們首先需要一個目錄作為隔離環境的根目錄。我們將這個目錄命名為 my_chroot。為了讓環境具備基本的執行能力，我們需要複製必要的二進位檔、共享函式庫以及必要的系統目錄。

首先，建立目標目錄並進入它：

sudo mkdir -p /opt/my_chroot
cd /opt/my_chroot

接下來，我們需要建立基本的目錄結構，包括 /bin, /lib, /etc 等。在現代 Linux 系統中，為了確保路徑正確，我們通常會建立符號連結或直接複製。這裡我們手動建立必要的目錄：

sudo mkdir -p bin sbin lib lib64 etc proc sys dev usr

安裝基礎系統與複製檔案

現在我們需要將主系統中的必要檔案複製到 chroot 環境中。最簡單的方法是使用 debootstrap 工具，它能自動下載並安裝 Debian/Ubuntu 基礎系統。如果我們想手動模擬，可以複製 /bin 和 /lib 中的關鍵檔案。

這裡我們採用更通用且手動的方式來展示原理。我們需要複製主系統的 shell（例如 bash）及其依賴的共享函式庫。

使用 ldd 指令可以查看某個執行檔依賴哪些共享函式庫：

# 查看 bash 依賴的函式庫
ldd /bin/bash

輸出範例：

linux-vdso.so.1 (0x00007ffd8a3f5000)
libtinfo.so.6 => /lib/x86_64-linux-gnu/libtinfo.so.6 (0x00007f8a9b2c0000)
libc.so.6 => /lib/x86_64-linux-gnu/libc.so.6 (0x00007f8a9b0e0000)
/lib64/ld-linux-x86-64.so.2 (0x00007f8a9b4d0000)

我們需要將這些依賴的函式庫複製到 chroot 環境對應的位置。為了簡化操作，我們可以複製整個 /lib 和 /lib64 目錄，以及 /bin, /sbin, /usr 中的基本工具：

# 複製必要的目錄結構
sudo cp -av /bin /sbin /usr /lib /lib64 etc passwd group shadow hosts resolv.conf /opt/my_chroot/

# 注意：上面的 cp 指令可能會失敗，因為 /lib 和 /lib64 通常是符號連結或包含複雜結構
# 更安全的做法是分別複製：
sudo cp -a /bin /sbin /usr /opt/my_chroot/
sudo cp -a /lib/x86_64-linux-gnu /opt/my_chroot/lib/
sudo cp -a /lib64 /opt/my_chroot/lib64/
sudo cp -a /etc/hostname /etc/hosts /etc/resolv.conf /opt/my_chroot/etc/

掛載虛擬檔案系統

chroot 環境本身並不包含虛擬檔案系統，如 /proc、/sys 和 /dev。這些目錄對於系統運作至關重要，因此必須從主系統掛載進去。

# 掛載 proc, sys, dev
sudo mount --bind /proc /opt/my_chroot/proc
sudo mount --bind /sys /opt/my_chroot/sys
sudo mount --bind /dev /opt/my_chroot/dev

進入 chroot 環境

現在，我們可以執行 chroot 指令進入隔離環境：

sudo chroot /opt/my_chroot /bin/bash

成功進入後，你的提示字號可能會改變，且你現在處於一個全新的根目錄 /。你可以嘗試執行基本指令：

# 在 chroot 環境中執行
whoami
ls /
cat /etc/hostname

此時，你無法存取主系統的文件，除非透過掛載點。這正是 chroot 提供隔離性的體現。

實際應用場景

1. 系統救援：當主系統無法開機時，可以從 Live USB 啟動，將硬碟分區掛載到某個目錄，然後執行 chroot 進入該系統進行修復（如重設 root 密碼）。
2. 軟體開發：在開發依賴特定版本函式庫的軟體時，chroot 可以提供一個乾淨、一致的環境，避免「在我機器上沒問題」的窘境。
3. 安全測試：在隔離環境中測試可疑軟體，降低對主系統的影響。

常見問題與注意事項

Q1: 進入 chroot 後指令無法執行，提示 "No such file or directory"？

這通常不是因為指令不存在，而是因為動態連結器（dynamic linker）找不到。chroot 環境中的 /lib64/ld-linux-x86-64.so.2 必須正確存在。請確保你複製了正確的函式庫路徑。此外，如果架構不符（例如在 ARM 系統上執行 x86_64 的二進位檔），也會出現此錯誤。

Q2: 如何離開 chroot 環境？

只需在 chroot 環境中輸入 exit 即可返回主系統。離開後，建議卸載掛載的虛擬檔案系統以保持乾淨：

# 離開 chroot
exit

# 卸載掛載點
sudo umount /opt/my_chroot/proc
sudo umount /opt/my_chroot/sys
sudo umount /opt/my_chroot/dev

小結

chroot 是 Linux 系統管理中不可或缺的工具，它透過改變根目錄來提供基本的環境隔離。雖然它並非真正的虛擬化或容器技術，無法完全隔離核心資源，但對於文件系統層級的隔離與環境構建來說，依然非常有效。透過理解其原理與操作步驟，系統管理員可以更靈活地處理系統維護、開發測試等任務。希望這篇文章能幫助你掌握 chroot 的核心應用。