मैं कैसे बताऊं कि मैं एक चुरोट में चल रहा हूं?

मेरे पास एक यूनिक्स इंस्टॉलेशन है जिसे चेरोट और स्टैंडअलोन सिस्टम के रूप में उपयोग करने योग्य माना जाता है। अगर यह चेरोट के रूप में चल रहा है, तो मैं किसी भी सेवा (क्रोन, इनटीडी, और इतने पर) को चलाना नहीं चाहता, क्योंकि वे मेजबान प्रणाली के साथ संघर्ष करेंगे या बेमानी होंगे।

मैं एक शेल स्क्रिप्ट कैसे लिखूं जो एक अलग तरह से व्यवहार करता है कि क्या यह चिरोट में चल रहा है? मेरी तत्काल आवश्यकता एक आधुनिक लिनक्स सिस्टम है, /procचुरोट में घुड़सवार, और स्क्रिप्ट रूट के रूप में चल रही है, लेकिन अधिक पोर्टेबल उत्तर का भी स्वागत है। (देखें कि मैं कैसे बताऊं कि मैं चिरौट में चल रहा हूं अगर / proc माउंट नहीं है? लिनक्स के मामले के बिना /proc।)

अधिक सामान्यतः, सुझाव जो अन्य नियंत्रण विधियों के लिए काम करते हैं, दिलचस्प होगा। व्यावहारिक प्रश्न यह है कि क्या यह प्रणाली किसी भी सेवा को चलाने वाली है? (जवाब एक चेरोट में नहीं है, और एक पूरी तरह से आभासी मशीनों में हाँ, मुझे जेल या कंटेनर जैसे मध्यवर्ती मामलों के बारे में नहीं पता है।)

मैंने यहां जो किया है वह परीक्षण करने के लिए है कि क्या initप्रक्रिया की जड़ (पीआईडी ​​1) वर्तमान प्रक्रिया की जड़ के समान है। हालाँकि /proc/1/root, हमेशा एक लिंक होता है /(जब तक कि initखुद को काट दिया नहीं जाता है, लेकिन यह एक ऐसा मामला नहीं है जिसकी मुझे परवाह है), इसके बाद यह "मास्टर" रूट डायरेक्टरी की ओर जाता है। इस तकनीक का उपयोग डेबियन में कुछ रखरखाव लिपियों में किया जाता है, उदाहरण के लिए चेरोट में स्थापना के बाद udev को छोड़ना।

if [ "$(stat -c %d:%i /)" != "$(stat -c %d:%i /proc/1/root/.)" ]; then
  echo "We are chrooted!"
else
  echo "Business as usual"
fi

(वैसे, यह अभी तक एक और उदाहरण है कि chrootसुरक्षा के लिए बेकार क्यों है अगर चिरोट की गई प्रक्रिया की जड़ तक पहुंच है। गैर-रूट प्रक्रियाएं नहीं पढ़ सकती हैं /proc/1/root, लेकिन /proc/1234/rootपीआईडी ​​1234 के साथ चलने वाली प्रक्रिया के समान होने पर वे अनुसरण कर सकते हैं। उपयोगकर्ता।)

यदि आपके पास रूट अनुमतियां नहीं हैं, तो आप ( /proc/1/mountinfoऔर लिनक्स कर्नेल प्रलेखन में/proc/$$/mountinfo संक्षिप्त रूप से filesystems/proc.txtप्रलेखित ) देख सकते हैं। यह फ़ाइल विश्व-पठनीय है और इसमें फाइल सिस्टम की प्रक्रिया के बारे में प्रत्येक आरोह बिंदु के बारे में बहुत सारी जानकारी है। उस फ़ाइल में पथ रीडर प्रक्रिया को प्रभावित करने वाले वर्ण द्वारा प्रतिबंधित हैं, यदि कोई हो। यदि पढ़ने की प्रक्रिया /proc/1/mountinfoएक फाइलसिस्टम में काट दी गई है जो वैश्विक रूट (पीआईडी ​​1 की जड़ वैश्विक रूट है) से अलग है, तो इसमें कोई प्रविष्टि /दिखाई नहीं देती है /proc/1/mountinfo। यदि पढ़ने की प्रक्रिया /proc/1/mountinfoको वैश्विक रूट फाइलसिस्टम पर निर्देशिका में ले जाया जाता है, तो इसके लिए एक प्रविष्टि /दिखाई देती है /proc/1/mountinfo, लेकिन एक अलग माउंट आईडी के साथ। संयोग से, जड़ क्षेत्र ($4) इंगित करता है कि चुरोट अपने मास्टर फाइल सिस्टम में कहां है।

[ "$(awk '$5=="/" {print $1}' </proc/1/mountinfo)" != "$(awk '$5=="/" {print $1}' </proc/$$/mountinfo)" ]

यह एक शुद्ध लिनक्स समाधान है। यह पर्याप्त रूप से समान /proc(सोलारिस के समान है /proc/1/root, मुझे लगता है, लेकिन नहीं mountinfo) के साथ अन्य यूनिक्स वेरिएंट के लिए सामान्य हो सकता है ।

जैसा कि इनोड संख्या ज्ञात करने के लिए पोर्टेबल तरीके से उल्लेख किया गया है और भीतर से एक चिरोट जेल का पता लगा रहे हैं , आप जांच सकते हैं कि संख्या का इनोड संख्या :/2

$ ls -di /
2 /

एक इनोड संख्या जो 2 से भिन्न होती है, यह इंगित करती है कि स्पष्ट जड़ एक फाइलसिस्टम की वास्तविक जड़ नहीं है। यह उन chroots का पता नहीं लगाएगा, जो एक आरोह बिंदु पर, या यादृच्छिक रूट इनोड संख्या के साथ ऑपरेटिंग सिस्टम पर रूट किए जाते हैं ।

हालांकि स्पष्ट रूप से उतने पोर्टेबल नहीं हैं जितने अन्य विकल्प यहां सूचीबद्ध हैं, यदि आप डेबियन-आधारित प्रणाली पर हैं, तो प्रयास करें ischroot।

देखें: https://manpages.debian.org/jessie/debianutils/ischroot.1.en.html

कंसोल में सीधे स्थिति प्राप्त करने के लिए, इस्सरोट का उपयोग करके:

ischroot;echo $?

बाहर निकलें कोड:

0 if currently running in a chroot
1 if currently not running in a chroot
2 if the detection is not possible (On GNU/Linux this happens if the script is not run as root).