Chroot

From Gentoo Wiki
Jump to:navigation Jump to:search
This page is a translated version of the page Chroot and the translation is 21% complete.
Outdated translations are marked like this.
Resources

Chroot (Change root) est un utilitaire système Unix utiliser pour changer le répertoire racine (root) apparent en vue de créer un nouvel environnement logiquement séparé du répertoire racine principal du système. Ce nouvel environnement est aussi connu sous le nom de « prison Chroot » (Chroot jail). Un utilisateur opérant dans la prison ne peut ni voir, ni accéder aux fichiers placés en dehors de l'environnement dans lequel il a été enfermé.

Une des utilisations principales du changement de racine est de créer un système Linux séparé au dessus du système courant dans un but de test ou de compatibilité logicielle. Chroot est souvent considéré comme une alternative légère à la virtualisation car le système peut fonctionner sans la surcharge d'un hyperviseur.

Prérequis

Mettre l'environnement en place

Lorsque l'on crée une nouvelle configuration chroot, la première nécessité est de disposer d'un répertoire où le nouvel environnement résidera, par exemple dans /mnt/mychroot :

user $mkdir /mnt/mychroot
user $cd /mnt/mychroot

Pour monter une installation existante à partir d'une partition, la commande suivante peut être utilisée.Assurez-vous de remplacer <DEVICE> dans l’exemple ci-dessous par le "disque" et la partition de l’installation utiliser.

user $mkdir /mnt/mychroot
user $mount /dev/<DEVIC> /mnt/mychroot

Si une installation a été crée antérieurement dans un sous-répertoire de la racine actuelle du fichier système, les étapes citées précédemment peuvent être omises.

Dépaqueter les fichiers système et l'arbre de Portage (nouvelles installations)

Lors de la construction d'une nouvelle installation, l'étape suivante est de télécharger l'archive d'étape 3 et l'archive Portage et de les installer dans l'emplacement de la nouvelle racine. Pour une information plus complète sur ce processus, consulter Downloading the stage tarball and Unpacking the stage tarball dans le manuel Gentoo Handbook.

root #links http://distfiles.gentoo.org/releases/amd64/autobuilds/
root #tar xvjpf stage3-*.tar.bz2 -C /mnt/mychroot

Configuration

Avant d'entrer dans le nouvel environnement, un certain nombre de répertoires doivent être montés.

root #mount --rbind /dev /mnt/mychroot/dev
root #mount --make-rslave /mnt/mychroot/dev
root #mount -t proc /proc /mnt/mychroot/proc
root #mount --rbind /sys /mnt/mychroot/sys
root #mount --make-rslave /mnt/mychroot/sys
root #mount --rbind /tmp /mnt/mychroot/tmp

Des fichiers de configuration basiques doivent être recopiés de l'hôte, ne recopiez pas make.conf quand vous utilisez une installation existante.

user $cp /etc/portage/make.conf /mnt/mychroot/etc/portage # If you use an existing installation, skip this command.
user $cp /etc/resolv.conf /mnt/mychroot/etc

Utilisation

Une fois ces opérations terminées, entrez dans le nouvel environnement chroot en exécutant ces commandes:

root #chroot /mnt/mychroot /bin/bash
root #env-update && . /etc/profile
root #export PS1="(chroot) $PS1"

Lors de la création d'une nouvelle installation, Portage doit être synchronisé pour être sûr que tout est à jour.

(chroot) root #emerge-webrsync
(chroot) root #emerge --sync

Le système est désormais prêt. Vous pouvez installer des logiciels, jouer avec les réglages, tester des paquets expérimentaux et des configurations sans que cela ait le moindre effet sur votre système principal. Pour quitter le nouvel environnement tapez simplement « exit » ou pressez Ctrl + D; vous serez alors ramené dans votre environnement normal. N'oubliez pas de démonter les répertoires que vous aurez montés.

systemd-nspawn

If the system uses systemd, systemd-nspawn can be used, which can automatically handle much of the boilerplate required in administering chroots. For example, to enter a chroot via systemd-nspawn with the same configuration as specified in the Configuration section, simply run:

root #cp /etc/portage/make.conf /mnt/mychroot/etc/portage
root #systemd-nspawn -D /mnt/mychroot --bind=/tmp --resolv-conf=/etc/resolv.conf

Scripts d'initialisation

Si vous avez souvent besoin de mettre en place un chroot, vous pouvez accélérer le montage des répertoires nécessaire au changement de racine en utilisant un script d'initialisation. Ce script peut être ajouté au niveau d’exécution "default" pour pouvoir le mettre en place automatiquement au démarrage :

FILE /etc/init.d/mychroot
#!/sbin/openrc-run
 
depend() {
   need localmount
   need bootmisc
}
 
start() {
     ebegin "Mounting chroot directories"
     mount -o rbind /dev /mnt/mychroot/dev > /dev/null &
     mount -t proc none /mnt/mychroot/proc > /dev/null &
     mount -o bind /sys /mnt/mychroot/sys > /dev/null &
     mount -o bind /tmp /mnt/mychroot/tmp > /dev/null &
     eend $? "An error occurred while mounting chroot directories"
}
 
stop() {
     ebegin "Unmounting chroot directories"
     umount -f /mnt/mychroot/dev > /dev/null &
     umount -f /mnt/mychroot/proc > /dev/null &
     umount -f /mnt/mychroot/sys > /dev/null &
     umount -f /mnt/mychroot/tmp > /dev/null &
     eend $? "An error occurred while unmounting chroot directories"
}

Si vous utilisez un répertoire ou une partition différent, ajoutez les commandes nécessaires dans start() et changez /mnt/chroot si vous utilisez un autre nom.

Sound and graphics

The software running inside the chroot will by default not have access to the system sound- and display-server. Fixing this is done by either sharing a socket, or by running the communication with TCP over localhost.

Wayland

Wayland uses a socket to connect clients with the compositor. This socket needs to be shared with the chroot to make graphical applications work. The general procedure for finding this socket is:[1]

  1. If WAYLAND_SOCKET is set, interpret it as a file descriptor number on which the connection is already established, assuming that the parent process configured the connection for us.
  2. If WAYLAND_DISPLAY is set, concat with XDG_RUNTIME_DIR to form the path to the Unix socket.
  3. Assume the socket name is wayland-0 and concat with XDG_RUNTIME_DIR to form the path to the Unix socket.

Using WAYLAND_DISPLAY and XDG_RUNTIME_DIR is fine in most cases and will be used here. By default XDG_RUNTIME_DIR is set to /run/user/$(uid). This directory will not be available in the chroot because the #Configuration instructions bind mounts /run non-recursively. Assuming the user's uid is 1000, this can be solved by either bind-mounting /run/user/1000 with:

root #mkdir -p /mnt/mychroot/run/user/1000
root #mount --bind /run/user/1000 /mnt/mychroot/run/user/1000

or by simply recursively bind mounting /run with:

root #mount --rbind /run /mnt/mychroot/run

The Wayland library dev-libs/wayland uses the same procedure for finding out the socket as listed above. So to share the socket with the chroot, the only thing that's needed to do is defining XDG_RUNTIME_DIR and WAYLAND_DISPLAY. Here it is assumed that the Wayland socket name WAYLAND_DISPLAY is wayland-0.

(chroot) root #useradd -m user
(chroot) root #su -l user
(chroot) user $export XDG_RUNTIME_DIR=/run/user/1000
(chroot) user $export WAYLAND_DISPLAY=wayland-0
(chroot) user $MOZ_ENABLE_WAYLAND=1 firefox-bin

Permission errors will occur if the user in the chroot does not have permissions to access the Wayland socket. This can be solved by using user namespace remapping or ACLs. The easiest solution is to just make sure that the user ids match. The useradd -u, --uid UID option can be used when creating a user.

PipeWire

Like Wayland, PipeWire uses a socket to connect clients to the PipeWire daemon.

Applications assume that the PipeWire socket will be located in ${XDG_RUNTIME_DIR}/pipewire-0, so the only thing that's needed to get PipeWire clients to connect to the host's daemon is to expose XDG_RUNTIME_DIR to the chroot. This process is identical to the one described in #Wayland. To expose XDG_RUNTIME_DIR, often /run/user/$(uid), the following commands are used:

root #mkdir -p /mnt/mychroot/run/user/1000
root #mount --bind /run/user/1000 /mnt/mychroot/run/user/1000

XDG_RUNTIME_DIR will not be set when logging in inside the chroot, therefore XDG_RUNTIME_DIR needs to exported so the PipeWire client can find the socket:

(chroot) user $export XDG_RUNTIME_DIR=/run/user/1000
(chroot) user $pw-cli

Xorg

Xorg by default listens on a socket located in /tmp/.X11-unix/X${DISPLAY}, as well as on localhost TCP port 6000 + ${DISPLAY}[2]. The instructions in #Configuration bind mounts /tmp, and therefore no additional configuration is needed except setting the DISPLAY variable before running a graphical application:

(chroot) user $DISPLAY=:0 firefox-bin

If the uid of the user inside the chroot does not match the uid outside the chroot, then setting permissions with xhost will be needed. To allow all local connections, run outside the chroot:

user $xhost +local:

Voir aussi

External resources

References

  1. https://wayland-book.com/protocol-design/wire-protocol.html
  2. So if DISPLAY=:12, then Xorg will listen on localhost TCP port 6012