Como sei se estou executando um chroot?

Eu tenho uma instalação unix que deveria ser usada tanto como chroot quanto como sistema independente. Se estiver executando como chroot, não quero executar nenhum serviço (cron, inetd etc.), porque eles entrariam em conflito com o sistema host ou seriam redundantes.

Como escrevo um script de shell que se comporta de maneira diferente, dependendo de estar sendo executado em um chroot? Minha necessidade imediata é de um sistema Linux moderno, /procmontado no chroot, e o script esteja sendo executado como root, mas respostas mais portáteis também serão bem-vindas. (Consulte Como saber se estou executando um chroot se / proc não estiver montado? Para o caso do Linux sem /proc.)

De maneira mais geral, sugestões que funcionem para outros métodos de contenção seriam interessantes. A questão prática é: esse sistema deveria estar executando algum serviço? (A resposta é não em um chroot e sim em máquinas virtuais completas; não conheço casos intermediários, como cadeias ou contêineres.)

O que eu fiz aqui é testar se a raiz do initprocesso (PID 1) é igual à raiz do processo atual. Embora /proc/1/rootseja sempre um link para /(a menos que initele seja chrootado, mas esse não é um caso que me importe), segui-lo leva ao diretório raiz "mestre". Esta técnica é usada em alguns scripts de manutenção no Debian, por exemplo, para pular o início do udev após a instalação em um chroot.

if [ "$(stat -c %d:%i /)" != "$(stat -c %d:%i /proc/1/root/.)" ]; then
  echo "We are chrooted!"
else
  echo "Business as usual"
fi

(A propósito, este é mais um exemplo de por que chrooté inútil para a segurança se o processo chroot tiver acesso root. Processos não raiz não podem ler /proc/1/root, mas podem ser seguidos /proc/1234/rootse houver um processo em execução com o PID 1234 sendo executado da mesma forma. do utilizador.)

Se você não possui permissões de root, pode ver /proc/1/mountinfoe /proc/$$/mountinfo(brevemente documentado na documentação filesystems/proc.txtdo kernel do Linux ). Este arquivo é legível por todo o mundo e contém muitas informações sobre cada ponto de montagem na visualização do processo do sistema de arquivos. Os caminhos nesse arquivo são restritos pelo chroot que afeta o processo do leitor, se houver. Se a leitura do processo /proc/1/mountinfofor chroot em um sistema de arquivos diferente da raiz global (supondo que a raiz do pid 1 seja a raiz global), nenhuma entrada para será /exibida /proc/1/mountinfo. Se a leitura do processo /proc/1/mountinfofor chroot para um diretório no sistema de arquivos raiz global, uma entrada para /aparecerá /proc/1/mountinfo, mas com um ID de montagem diferente. Aliás, o campo raiz ($4) indica onde o chroot está em seu sistema de arquivos mestre.

[ "$(awk '$5=="/" {print $1}' </proc/1/mountinfo)" != "$(awk '$5=="/" {print $1}' </proc/$$/mountinfo)" ]

Esta é uma solução Linux pura. Pode ser generalizável para outras variantes do Unix com uma similaridade suficiente /proc(o Solaris tem uma similar /proc/1/root, eu acho, mas não mountinfo).

Conforme mencionado na maneira Portátil para encontrar o número do inode e Detectando uma cadeia chroot de dentro , você pode verificar se o número do inode /é 2:

$ ls -di /
2 /

Um número de inode diferente de 2 indica que a raiz aparente não é a raiz real de um sistema de arquivos. Isso não detectará chroots que estão enraizados em um ponto de montagem ou em sistemas operacionais com números aleatórios de inodes de raiz .

Embora claramente não seja tão portátil quanto muitas outras opções listadas aqui, se você estiver em um sistema baseado em Debian, tente ischroot.

Veja: https://manpages.debian.org/jessie/debianutils/ischroot.1.en.html

Para obter o status diretamente no console, usando ischroot:

ischroot;echo $?

Códigos de saída:

0 if currently running in a chroot
1 if currently not running in a chroot
2 if the detection is not possible (On GNU/Linux this happens if the script is not run as root).