如果chroot从 root 调用,该chroot选项--userspec=USER:GROUP将在非 root UID/GID 下运行命令。
顺便说一句,根据 git repository ,选项“--userspec”首先在 coreutils-7.5 中引入git://git.sv.gnu.org/coreutils。
fakechroot与fakeroot结合使用,将允许您执行此操作。它们将使所有正在运行的程序都像在以 root 身份在 chroot 中运行一样运行,但实际上它们会以您的身份运行。
另请参见fakechroot 的手册页。
您可以利用 linux 功能使您的二进制文件能够调用 chroot() 而不是 root。例如,您可以对chroot二进制文件执行此操作。作为非root用户,通常你会得到这个:
$ chroot /tmp/
chroot: cannot change root directory to /tmp/: Operation not permitted
但是在你运行setcap命令之后:
sudo setcap cap_sys_chroot+ep /usr/sbin/chroot
它会让你进行 chroot 调用。
我不建议您对系统执行此操作chroot,而是对您自己的程序执行此操作并调用 chroot。这样您就可以更好地控制正在发生的事情,甚至可以在调用 cap_sys_chroot 权限后删除它,因此在程序中对 chroot 的连续调用将失败。
自定义 chrooter 一点也不难写:
#define _BSD_SOURCE
#include <stdio.h>
#include <unistd.h>
const char newroot[]="/path/to/chroot";
int main(int c, char **v, char **e) {
int rc; const char *m;
if ( (m="chdir" ,rc=chdir(newroot)) == 0
&& (m="chroot",rc=chroot(newroot)) == 0
&& (m="setuid",rc=setuid(getuid())) == 0 )
m="execve", execve(v[1],v+2,e);
perror(m);
return 1;
}
将该 setuid 设为 root 并由您将喜欢的用户添加到的自定义组拥有(并且没有“其他”访问权限)。
您可以使用 Linux 容器创建一个位于完全不同命名空间(IPC、文件系统甚至网络)中的 chroot 环境
甚至还有 LXD 能够管理基于镜像的容器的创建并将它们配置为作为非特权用户运行,这样如果不受信任的代码设法以某种方式逃离容器,它将只能以非特权用户的身份执行代码,并且不作为系统的根。
在您最喜欢的搜索引擎上搜索“Linux Containers”和“LXD”;)