黑帽联盟

标题: 使用chroot构建linux沙盒 [打印本页]

作者: 定位 时间: 2017-2-1 18:47
标题: 使用chroot构建linux沙盒
使用chroot构建linux沙盒

因为idc上挂了一个外部网站,idc权限一般不外放,之前给一个登录shell为/bin/nologin的用户建ftp,现在希望更进一步，可以ssh到该目录中使用git命令进行代码管理但不能对其他目录和系统有权限。早先知道有个chroot命令，今天用了一下。如:
chroot /home/chroot /bin/bash
注意如果提示no such file or directory,实际上是提示/bin/bash或它需要的文件(如so文件)找不到，解决方法就是把所有需要目录都拷贝过去(用ldd /bin/bash查看)。

chroot的目录必须是root所有的,相当于一个系统目录沙盒,我看到网上有很多用chroot方法在一台机器上构建不同linux发行版(centos,redhat,slackware)。

我的具体做法是这样:
sudo mkdir /home/chroot
cd /home/chroot
sudo cp /bin . -rf
sudo cp /lib . -rf
sudo cp /lib64 . -rf
sudo cp /usr . -rf
sudo cp /sbin . -rf
sudo cp /etc . -rf
sudo mkdir ./dev
sudo mkdir ./proc
sudo mount --bind /dev/ ./dev
sudo mount --bind /proc/ ./proc
chroot /home/chroot /bin/bash

恩，这样就可以了，现在要添加一个home/hopkins目录在/home/chroot/中的用户,登陆shell为/bin/bash的用户,添加之后在/etc/password中看到是这样:
hopkinsadmin:x:1004:1004::/home/hopkinsadmin:/bin/bash

修改/etc/ssh/sshd_config,添加:
Match User hopkinsadmin
ChrootDirectory /home/chroot/

重启sshd:
sudo service ssh restart
现在ssh登陆就可以了,很棒吧。

欢迎光临黑帽联盟 (https://bbs.cnblackhat.com/)