https://www.opennet.ru/openforum/vsluhforumID3/124530.html Я работаю в Debian testing ARCH=i386 с amd64 битным ядром. 64-битное ядро позволяет запускать и 64-битные программы и 32-битные.<br><br> uname -ar<br> Linux mainpc.tinyware.sytes.net 5.10.43-tinyware-amd64 #1 SMP Fri Jun 11 00:52:31 UTC 2021 x86_64 GNU/Linux<br><br><br>32-битный userspace уже есть в основной системе, хочется иметь 64-битный userspace как можно более прозрачно.<br><br>Для этого подготовлен chroot:<br><br> sudo mkdir /opt/debian64<br> sudo debootstrap --arch amd64 stable /opt/debian64/ http://mirror.yandex.ru/debian/<br><br>Надо сделать chroot полноценным, пробросив в него нужные файловые системы, для этого в /etc/fstab добавим<br><br> /proc/opt/debian64/procbindbind,auto<br> /dev/opt/debian64/devbindbind,auto<br> /dev/pts/opt/debian64/dev/ptsbind bind,auto<br> /sys/opt/debian64/sysbindbind,auto<br> /tmp/opt/debian64/tmpbindbind,auto<br> /home/opt/debian64/homebindbind,auto<br> /run/opt/debian64/runbindbind,auto<br><br>Теперь в него легко можно чрутиться от рута и это полноценное окружение.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#21 Wed, 29 Sep 2021 12:55:00 GMT открой для себя docker и не мучайся с chroot<br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#20 Sat, 18 Sep 2021 22:55:52 GMT Открой для себя lxc и не мучайся с chroot.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#19 Mon, 09 Aug 2021 14:06:46 GMT Вероятно, в данном конкретном случае можно посмотреть на https://docs.openshift.com/container-platform/3.11/crio/crio_runtime.html<br><br>Далее:<br>https://github.com/docker/compose<br>или совсем<br>https://minikube.sigs.k8s.io/docs/start/ + https://helm.sh/docs/intro/quickstart/<br><br>Chroot - сформировать контент другой файловой системы для каких-либо целей. Полезно при сборке образа диска для виртуалки, для загрузочной флешки, и в обратную сторону для ремонта компа, загрузившись с флешки попасть в ФС комп-а как в корневую.<br><br>Q-Emu и Kvm - поработать с железом, но с отдельным, виртуальным, с отдельными памятью и процессором.<br><br>Контейнеры - получить все процессоры, всю память, в отдельной сети на многих отдельных IP адресах и поверх запустить важный хлам. С возможностью получить память и процы обратно сразу в любой момент без отдельных телодвижений.<br><br>Под описание, из этой троицы, хорошо подходят контейнеры. Чрут не столь интересен.<br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#17 Fri, 16 Jul 2021 07:30:22 GMT Ещё всё ненужное из чрута выпиливали, да, да<br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#16 Thu, 08 Jul 2021 11:33:23 GMT &gt; Извини, но у тебя немножко мешанина в голове. Симлинка ничего не знает <br>&gt; о иноде куда указывает кроме путевого имени.<br><br>https://01.org/linuxgraphics/gfx-docs/drm/filesystems/path-lookup.html<br><br>Цитата:<br>The other case involves things in /proc that look like symlinks but aren't really (and are therefore commonly referred to as "magic-links"):<br><br>Т.е. в документации к ядру четко указано, что то что вы принимаете за symlinks на файловой системе /proc, симлинком не является.<br><br>Для моего локалхоста, Midnight Commander на файловой системе /proc симлинки считает симлинками, а<br>вот ls, cat, chroot на файловой системе /proc уже считают symlinks как "magic-links"<br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#15 Thu, 08 Jul 2021 11:00:55 GMT Здесь, хорошо описано<br>https://access.redhat.com/blogs/766093/posts/1975883<br>(гугл-транслейтом хорошо переводится)<br>А вот здесь<br>https://ru.wikipedia.org/wiki/Chroot<br>указано на проблемму second chroot, ссылка потом ведет на <br>https://web.archive.org/web/20150314231549/http://www.bpfh.net/simes/computing/chroot-break.html<br><br>Ну, справедливости ради, УМВР.<br><br>Т.е. ваш<br>ls /proc/1/cwd<br>у меня будет показывать<br><br>/MARK_FILE<br>и<br>cat /proc/1/cwd/etc/passwd<br>выведет содержимое passwd хост системы.<br>У меня ванильное ядро. Может в вашем ядре мейнтейнеры как-то это запатчили, хотя и сомневаюсь<br>Укажите параметры хост системы<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#14 Thu, 08 Jul 2021 10:18:59 GMT Ну мля.<br>В хост системе делаем:<br>touch /MARK_FILE<br>чтобы следующими телодвижениями получить возможность увидеть его из chroot-a.<br><br>Переходим в chroot:<br>sudo chroot /opt/debian64/ /bin/bash<br><br>теперь мы в chroot-те с правами root.<br><br>И ход конем<br>chroot /proc/1/cwd /bin/bash<br>хопа, мы в хост системе<br>ls -1 /<br>и мы видим<br>.<br>..<br>....<br>/MARK_FILE<br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#13 Thu, 08 Jul 2021 10:12:31 GMT Для приведенных случаев безопасность обеспечивается не chroot-ом, а правами пользователя. Если система не позволяет повысить привилегии до root (или другого пользователя имеющего право на запуск "системного вызова chroot"), то можно принять, что это безопасно.<br><br>в пункте 1.2 также написано<br>This should be considered as a supplement to the normal security precautions (running the latest version, using access control, etc.), certainly not as a replacement for them.<br><br>Т.е. мы строим многоуровневую защиту с целью задолбать злоумышленника, но принимаем, что каждый уровень может быть уязвим.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID3/124530.html#12 Mon, 28 Jun 2021 10:50:54 GMT Я потрудился проверить:<br>[code]<br>pavel@mainpc:~$ sudo chroot /opt/debian64/<br>root@mainpc:/# ls /proc/1/cwd<br>bin etc lib64media proc sbin tmpvmlinuz<br>boot home libx32mnt root srv usrvmlinuz.old<br>dev lib lost+foundopt run sys var<br>[/code]<br><br>Получился листинг того же чрута.<br><br>Извини, но у тебя немножко мешанина в голове. Симлинка ничего не знает о иноде куда указывает кроме путевого имени.<br>