¿Cómo puedo decir que estoy corriendo en un chroot?

Tengo una instalación de Unix que se supone que se puede utilizar como chroot y como sistema independiente. Si se ejecuta como chroot, no quiero ejecutar ningún servicio (cron, inetd, etc.), ya que entrarían en conflicto con el sistema host o serían redundantes.

¿Cómo escribo un script de shell que se comporta de manera diferente dependiendo de si se ejecuta en un chroot? Mi necesidad inmediata es un sistema Linux moderno, /procmontado en el chroot, y el script se ejecuta como root, pero también se aceptan respuestas más portátiles. (Consulte ¿Cómo puedo saber si estoy ejecutando un chroot si / proc no está montado? Para el caso de Linux sin /proc).

En términos más generales, las sugerencias que funcionan para otros métodos de contención serían interesantes. La pregunta práctica es, ¿se supone que este sistema ejecuta algún servicio? (La respuesta es no en un chroot, y sí en máquinas virtuales completas; no sé sobre casos intermedios como cárceles o contenedores).

Lo que he hecho aquí es probar si la raíz del initproceso (PID 1) es la misma que la raíz del proceso actual. Aunque /proc/1/rootsiempre es un enlace a /(a menos que esté en initsí, pero ese no es un caso que me interese), seguirlo lleva al directorio raíz "maestro". Esta técnica se utiliza en algunos scripts de mantenimiento en Debian, por ejemplo, para omitir el inicio de udev después de la instalación en un chroot.

if [ "$(stat -c %d:%i /)" != "$(stat -c %d:%i /proc/1/root/.)" ]; then
  echo "We are chrooted!"
else
  echo "Business as usual"
fi

(Por cierto, este es otro ejemplo de por qué chrootes inútil para la seguridad si el proceso chrooteado tiene acceso a la raíz. Los procesos no root no pueden leer /proc/1/root, pero pueden seguir /proc/1234/rootsi hay un proceso en ejecución con PID 1234 ejecutándose igual) usuario.)

Si no tiene permisos de root, puede ver /proc/1/mountinfoy /proc/$$/mountinfo(brevemente documentado filesystems/proc.txten la documentación del kernel de Linux ). Este archivo es legible en todo el mundo y contiene mucha información sobre cada punto de montaje en la vista del proceso del sistema de archivos. Las rutas en ese archivo están restringidas por el chroot que afecta el proceso del lector, si lo hay. Si la lectura del proceso /proc/1/mountinfose procesa en un sistema de archivos que es diferente de la raíz global (suponiendo que la raíz de pid 1 sea la raíz global), no /aparece ninguna entrada para /proc/1/mountinfo. Si la lectura del proceso /proc/1/mountinfose cambia a un directorio en el sistema de archivos raíz global, entonces /aparece una entrada para /proc/1/mountinfo, pero con un ID de montaje diferente. Por cierto, el campo raíz ($4) indica dónde está el chroot en su sistema de archivos maestro.

[ "$(awk '$5=="/" {print $1}' </proc/1/mountinfo)" != "$(awk '$5=="/" {print $1}' </proc/$$/mountinfo)" ]

Esta es una solución pura de Linux. Puede ser generalizable a otras variantes de Unix con una suficientemente similar /proc(Solaris tiene una similar /proc/1/root, creo, pero no mountinfo).

Como se mencionó en la forma portátil para encontrar el número de inodo y detectar una cárcel chroot desde adentro , puede verificar si el número de inodo /es 2:

$ ls -di /
2 /

Un número de inodo diferente de 2 indica que la raíz aparente no es la raíz real de un sistema de archivos. Esto no detectará los chroots que están enraizados en un punto de montaje o en sistemas operativos con números de inodo de raíz aleatorios .

Aunque claramente no es tan portátil como muchas otras opciones enumeradas aquí, si está en un sistema basado en Debian, intente ischroot.

Ver: https://manpages.debian.org/jessie/debianutils/ischroot.1.en.html

Para obtener el estado en la consola directamente, usando ischroot:

ischroot;echo $?

Códigos de salida

0 if currently running in a chroot
1 if currently not running in a chroot
2 if the detection is not possible (On GNU/Linux this happens if the script is not run as root).