Chroot
Chroot (Change root) (zu deutsch etwa: ändere Wurzel) ist ein Unix-Dienstprogramm, mit dem das scheinbare Root-Verzeichnis geändert werden kann. Damit wird eine neue Umgebung geschaffen, die logisch vom Root-Verzeichnis des Hauptsystems getrennt ist. Dieses neue Umfeld wird als "chroot jail" (zu deutsch etwa: chroot-Gefängnis) bezeichnet. Ein Benutzer, der innerhalb des Gefängnisses arbeitet, kann keine Dateien außerhalb der Umgebung, in die er gesperrt wurde, sehen oder darauf zugreifen.
Einer der Einsatzschwerpunkte von chroot ist ein separates Linux-System auf dem aktuellen zum Zwecke des Testens oder der Software-Kompatibilität zu erstellen. Chroot wird oft als eine leichtgewichtige Alternative zur Virtualisierung gesehen, weil es ohne den Ballast eines Hypervisors auskommt.
Voraussetzungen
Die Umgebung aufsetzen
Damit ein neues chroot-Setup erstellt werden kann, wird zunächst ein Verzeichnis benötigt, in dem sich das chroot befinden kann. Beispielsweise könnte ein chroot in /mnt/mychroot erstellt werden:
user $mkdir /mnt/mychroot
user $cd /mnt/mychroot
Um eine existierende Installation von einer Partition zu mounten, kann der folgende Befehl ausgeführt werden. Stellen Sie sicher die <DEVICE> Zeichenkette im Beispiel unterhalb durch das Laufwerk und die Partition der existierenden Installation zu ersetzten:
user $mkdir /mnt/mychroot
user $mount /dev/<DEVICE> /mnt/mychroot
Wenn zuvor bereits eine Installation in einem Unterverzeichnis des aktuellen Root-Dateisystems erzeugt wurde, können Sie die Schritte oberhalb überspringen.
Installieren der Systemdateien und des Portage-Baumes (Neuinstallation)
Bei einer Neuinstallation besteht der nächste Schritt darin, den stage3- und Portage-Tarball herunterzuladen und in der Chroot-Umgebung zu entpacken. Weiterführende Informationen sind unter Stage-Tarball herunterladen und Stage-Tarball entpacken im Gentoo Handbuch zu finden.
root #links http://distfiles.gentoo.org/releases/amd64/autobuilds/
root #tar xvjpf stage3-*.tar.bz2 -C /mnt/mychroot
Note that unpacking must as root user - otherwise on system update you will get error /proc: mount failed.
Konfiguration
Vor dem Eintreten in chroot müssen einige Verzeichnisse gemountet werden:
root #mount --rbind /dev /mnt/mychroot/dev
root #mount --make-rslave /mnt/mychroot/dev
root #mount -t proc /proc /mnt/mychroot/proc
root #mount --rbind /sys /mnt/mychroot/sys
root #mount --make-rslave /mnt/mychroot/sys
root #mount --rbind /tmp /mnt/mychroot/tmp
Einige grundlegende Konfigurationsdateien müssen vom Host kopiert werden. Kopieren Sie make.conf nicht, wenn Sie eine bestehende Installation verwenden:
user $cp /etc/portage/make.conf /mnt/mychroot/etc/portage # Wenn Sie eine bestehende Installation verwenden, überspringen Sie diesen Befehl.
user $cp /etc/resolv.conf /mnt/mychroot/etc
Bedienung
Wenn Sie dies getan haben, betreten Sie die Chroot-Umgebung durch die Ausführung der folgenden Befehle:
root #chroot /mnt/mychroot /bin/bash
root #env-update && . /etc/profile
root #export PS1="(chroot) $PS1"
To persist that - you can add them to .bashrc:
/root/.bashrc. /etc/profile
export PS1="(chroot) $PS1"
If you are getting error like Error opening terminal: xterm-kitty - add to .bashrc
/root/.bashrcexport TERM=xterm
Falls Sie eine neue Installation erstellen, sollte Portage synchronisiert werden um sicherzustellen, dass alles aktuell ist.
(chroot) root #emerge-webrsync(chroot) root #emerge --syncDas System ist jetzt bereit. Fühlen Sie sich frei Software zu installieren, mit Einstellungen herumzuspielen, Experimentelle Pakete und Konfigurationen zu testen, ohne negative Effekte auf das Haupt-System fürchten zu müssen. Um das chroot zu verlassen geben Sie einfach exit ein, oder drücken Sie Ctrl+d. Dieses Vorgehen wird die Konsole zurück zur normalen Umgebung bringen. Vergessen Sie nicht die Verzeichnisse auszuhängen (unmount), die Sie gemountet haben.
systemd-nspawn
If the system uses systemd, systemd-nspawn can be used, which can automatically handle much of the boilerplate required in administering chroots. For example, to enter a chroot via systemd-nspawn with the same configuration as specified in the Configuration section, simply run:
root #cp /etc/portage/make.conf /mnt/mychroot/etc/portage
root #systemd-nspawn -D /mnt/mychroot --bind=/tmp --resolv-conf=/etc/resolv.conf
Init-Skripte
Wenn das Aufsetzen von chroots eine Aufgabe ist, die oft durchgeführt werden muss, ist es möglich, das Mounten der Verzeichnisse durch das Verwenden eines Init-Skripts zu beschleunigen. Das Skript kann zum Standard-Runlevel hinzugefügt und somit automatisch beim Systemstart eingerichtet werden:
/etc/init.d/mychroot#!/sbin/openrc-run
depend() {
need localmount
need bootmisc
}
start() {
ebegin "Mounte chroot-Verzeichnisse"
mount -o rbind /dev /mnt/mychroot/dev > /dev/null &
mount -t proc none /mnt/mychroot/proc > /dev/null &
mount -o bind /sys /mnt/mychroot/sys > /dev/null &
mount -o bind /tmp /mnt/mychroot/tmp > /dev/null &
eend $? "Beim Mounten der chroot-Verzeichnisse ist ein Fehler aufgetreten"
}
stop() {
ebegin "Unmounte chroot-Verzeichnisse"
umount -f /mnt/mychroot/dev > /dev/null &
umount -f /mnt/mychroot/proc > /dev/null &
umount -f /mnt/mychroot/sys > /dev/null &
umount -f /mnt/mychroot/tmp > /dev/null &
eend $? "Beim Unmounten der chroot-Verzeichnisse ist ein Fehler aufgetreten"
}
Falls Sie ein ein anderes Verzeichnis oder eine andere Partition verwenden, fügen Sie die notwendigen Mount-Befehle in die Funktion start() hinzu und ändern Sie /mnt/chroot auf den passenden Namen.
Sound and graphics
The software running inside the chroot will by default not have access to the system sound- and display-server. Fixing this is done by either sharing a socket, or by running the communication with TCP over localhost.
Wayland
Wayland uses a socket to connect clients with the compositor. This socket needs to be shared with the chroot to make graphical applications work. The general procedure for finding this socket is:[1]
- If WAYLAND_SOCKET is set, interpret it as a file descriptor number on which the connection is already established, assuming that the parent process configured the connection for us.
- If WAYLAND_DISPLAY is set, concat with XDG_RUNTIME_DIR to form the path to the Unix socket.
- Assume the socket name is
wayland-0and concat with XDG_RUNTIME_DIR to form the path to the Unix socket.
Using WAYLAND_DISPLAY and XDG_RUNTIME_DIR is fine in most cases and will be used here. By default XDG_RUNTIME_DIR is set to /run/user/$(uid). This directory will not be available in the chroot because the #Configuration instructions bind mounts /run non-recursively. Assuming the user's uid is 1000, this can be solved by either bind-mounting /run/user/1000 with:
root #mkdir -p /mnt/mychroot/run/user/1000root #mount --bind /run/user/1000 /mnt/mychroot/run/user/1000or by simply recursively bind mounting /run with:
root #mount --rbind /run /mnt/mychroot/runThe Wayland library dev-libs/wayland uses the same procedure for finding out the socket as listed above. So to share the socket with the chroot, the only thing that's needed to do is defining XDG_RUNTIME_DIR and WAYLAND_DISPLAY. Here it is assumed that the Wayland socket name WAYLAND_DISPLAY is wayland-0.
(chroot) root #useradd -m user(chroot) root #su -l user(chroot) user $export XDG_RUNTIME_DIR=/run/user/1000(chroot) user $export WAYLAND_DISPLAY=wayland-0(chroot) user $MOZ_ENABLE_WAYLAND=1 firefox-binPermission errors will occur if the user in the chroot does not have permissions to access the Wayland socket. This can be solved by using user namespace remapping or ACLs. The easiest solution is to just make sure that the user ids match. The useradd -u, --uid UID option can be used when creating a user.
PipeWire
Like Wayland, PipeWire uses a socket to connect clients to the PipeWire daemon.
Applications assume that the PipeWire socket will be located in ${XDG_RUNTIME_DIR}/pipewire-0,
so the only thing that's needed to get PipeWire clients to connect to the host's daemon is to expose
XDG_RUNTIME_DIR to the chroot. This process is identical to the one described in #Wayland.
To expose XDG_RUNTIME_DIR, often /run/user/$(uid), the following commands are used:
root #mkdir -p /mnt/mychroot/run/user/1000root #mount --bind /run/user/1000 /mnt/mychroot/run/user/1000XDG_RUNTIME_DIR will not be set when logging in inside the chroot, therefore XDG_RUNTIME_DIR needs to exported so the PipeWire client can find the socket:
(chroot) user $export XDG_RUNTIME_DIR=/run/user/1000(chroot) user $pw-cliXorg
Xorg by default listens on a socket located in /tmp/.X11-unix/X${DISPLAY}, as well as on localhost TCP port 6000 + ${DISPLAY}[2]. The instructions in #Configuration bind mounts /tmp, and therefore no additional configuration is needed except setting the DISPLAY variable before running a graphical application:
(chroot) user $DISPLAY=:0 firefox-binIf the uid of the user inside the chroot does not match the uid outside the chroot, then setting permissions with xhost will be needed. To allow all local connections, run outside the chroot:
user $xhost +local:Siehe auch
- Project:X86/Chroot Guide — provides instructions on how to create a fresh Gentoo installation inside a chroot to assist in testing Gentoo packages for stabilization and for other sundry testing.
- Knowledge Base:Chrooting returns exec format error
- Chroot-Proxy-Dienste
- Chrooting und virtuelle Server
- PRoot — a user-space implementation of chroot, mount --bind, and binfmt_misc.
External resources
- chroot on Archlinux's wiki
References
- ↑ https://wayland-book.com/protocol-design/wire-protocol.html
- ↑ So if DISPLAY=:12, then Xorg will listen on localhost TCP port 6012