centos6.5系统无法启动，如何用chroot救援模式修复系统？

在Linux系统管理的世界里,chroot（change root）是一个强大而基础的工具，它能够将一个进程及其子进程的根目录（）重定向到系统上的另一个指定位置，对于这个进程来说，这个新位置就是它的整个世界，它无法看到或访问这个新根目录之外的任何文件或命令，这种机制常被形象地称为“chroot监狱”，因为它有效地将程序限制在一个隔离的环境中，本文将以CentOS 6.5为例，深入探讨chroot的原理、应用场景以及具体实践方法。

理解Chroot的核心概念与价值

chroot的本质在于改变文件系统命名空间的视角，当一个进程在普通的Shell中运行时，它的根目录是物理磁盘的真正根（），所有路径，如/etc/passwd或/usr/bin/bash，都是相对于这个根来解析的，而当我们执行chroot /new/root /bin/bash命令时，系统会做两件事：

1. 将当前进程的根目录视图切换到/new/root。
2. 在这个新的根目录下执行/bin/bash命令。

如果在新Shell中输入ls /，你看到的将是/new/root目录下的内容，而不再是系统真正的根目录，对于新Shell及其所有子进程而言，/new/root就是它们的“宇宙”。

chroot的主要应用场景包括：

• 系统恢复与修复： 这是chroot最经典和重要的用途，当系统因配置错误（如GRUB损坏、/etc/fstab错误）而无法正常启动时，我们可以使用Live CD或救援模式启动一个临时的微型系统，将损坏的系统根分区挂载到某个目录（如/mnt/sysimage），再通过chroot /mnt/sysimage进入原系统环境，这样，我们就可以像在正常系统中一样，运行命令来修复引导程序、重置密码或修改配置文件。
• 软件测试与隔离： 开发者或测试人员可以创建一个包含特定库和依赖的chroot环境，用于编译、安装和运行软件，这种隔离确保了测试活动不会污染主系统，也便于模拟不同版本的依赖环境，特别是在像CentOS 6.5这样的旧系统上，测试一个需要特定旧版库的应用程序时，chroot显得尤为有用。
• 安全加固： 将某些网络服务（如DNS、Web服务器）放入chroot环境中，可以限制被攻破后的潜在危害，即使服务存在漏洞并被黑客利用，他们也只能访问到chroot监狱内的文件，而无法触及更关键的系统文件（如/etc/shadow或系统配置），尽管现代容器技术提供了更强大的安全隔离，但chroot是这一思想的基石。

在CentOS 6.5中手动构建Chroot环境

手动构建一个功能完整的chroot环境是理解其工作原理的最佳方式，以下步骤将引导你从一个空白目录开始，逐步搭建一个可以运行Shell的基础环境。

第一步：创建目录结构

我们需要为chroot环境创建一个骨架目录，它至少应包含Linux系统的基本目录。

# 创建一个作为chroot根目录的文件夹
mkdir -p /mnt/centos6_chroot
# 在其中创建基本的目录结构
mkdir -p /mnt/centos6_chroot/{bin,dev,etc,lib,lib64,proc,sys,usr,var,home}

第二步：复制必要的二进制文件和库

一个可用的Shell至少需要bash和一些基础命令（如ls, cp, mv），复制这些命令时，关键在于不仅要复制命令本身，还要复制它们所依赖的共享库。

我们可以使用ldd命令来查看一个二进制文件依赖哪些库。

# 查看bash依赖的库
ldd /bin/bash

输出会类似这样：

    linux-vdso.so.1 =>  (0x00007fff...)
    libtinfo.so.5 => /lib64/libtinfo.so.5 (0x00007f8c...)
    libdl.so.2 => /lib64/libdl.so.2 (0x00007f8c...)
    libc.so.6 => /lib64/libc.so.6 (0x00007f8c...)
    /lib64/ld-linux-x86-64.so.2 (0x00007f8c...)

我们将bash及其所有依赖库复制到chroot目录中。

# 复制bash命令
cp /bin/bash /mnt/centos6_chroot/bin/
# 复制其依赖的库文件到对应的lib目录
cp /lib64/libtinfo.so.5 /mnt/centos6_chroot/lib64/
cp /lib64/libdl.so.2 /mnt/centos6_chroot/lib64/
cp /lib64/libc.so.6 /mnt/centos6_chroot/lib64/
cp /lib64/ld-linux-x86-64.so.2 /mnt/centos6_chroot/lib64/

为了方便使用,你还需要复制其他核心命令，如ls, sh, cat, ps等，并重复上述过程，使用ldd找出并复制它们的依赖库，这个过程虽然繁琐，但对于理解底层机制至关重要。

第三步：创建设备文件

Linux系统中的许多操作都依赖于/dev目录下的设备文件，我们需要在chroot环境中创建最基本的设备文件。

最简单的方法是直接从主系统复制一份。

# 使用 -a 参数保持属性
cp -a /dev/null /mnt/centos6_chroot/dev/
cp -a /dev/zero /mnt/centos6_chroot/dev/
cp -a /dev/tty /mnt/centos6_chroot/dev/
cp -a /dev/random /mnt/centos6_chroot/dev/
cp -a /dev/urandom /mnt/centos6_chroot/dev/

第四步：挂载虚拟文件系统

为了让chroot环境中的某些命令（如ps, top）能正常工作，我们需要将主系统的/proc和/sys虚拟文件系统挂载到chroot环境中。

mount -t proc proc /mnt/centos6_chroot/proc
mount -t sysfs sysfs /mnt/centos6_chroot/sys

第五步：进入Chroot环境

一切准备就绪,现在可以进入chroot了。

chroot /mnt/centos6_chroot /bin/bash

如果一切顺利,你的命令提示符可能不会有太大变化，但你已经身处“监狱”之中，尝试运行ls /，你将只看到mnt/centos6_chroot，执行ps aux，你将只能看到chroot环境内的进程。

要退出chroot，只需在Shell中输入exit或按Ctrl+D。

使用Yum高效构建Chroot环境

手动构建chroot环境非常耗时且容易出错，幸运的是，CentOS的包管理器yum提供了一个--installroot选项，可以极大地简化这一过程，它会自动处理所有的依赖关系，将指定的包及其所有依赖安装到目标目录中，并创建必要的设备文件。

# 1. 创建目录
mkdir -p /mnt/yum_chroot
# 2. 使用yum安装bash和coreutils包到目标目录
#    -y: 自动回答yes
#    --installroot: 指定安装根目录
#    --releasever=6: 指定CentOS版本，确保从6的源安装
yum -y --installroot=/mnt/yum_chroot --releasever=6 install bash coreutils
# 3. 挂载虚拟文件系统
mount -t proc proc /mnt/yum_chroot/proc
mount -t sysfs sysfs /mnt/yum_chroot/sys
# 4. 进入chroot
chroot /mnt/yum_chroot /bin/bash

通过这种方式,你将得到一个功能更齐全、配置更标准的chroot环境，大大节省了时间和精力。

---

相关问答FAQs

chroot、Docker和虚拟机（VM）在隔离性上有什么根本区别？

解答： 三者在隔离级别和实现原理上有显著差异。

• chroot： 提供的是文件系统级别的隔离，它只是改变了进程的根目录视图，所有进程仍然共享主机系统的内核、进程ID（PID）空间、网络栈和用户空间，隔离能力最弱，如果进程获得root权限，可能通过特定手段“越狱”。
• Docker（容器技术）： 提供的是应用级或操作系统级的虚拟化，它利用Linux内核的Namespaces（隔离PID、网络、挂载点、用户等）和Cgroups（限制资源）技术，实现了比chroot强得多的隔离，容器之间共享主机内核，但拥有独立的进程树、网络接口等，它比虚拟机更轻量、启动更快。
• 虚拟机（VM）： 提供的是硬件级别的完全隔离，Hypervisor（如KVM、VMware）在宿主机上虚拟出一整套硬件（CPU、内存、磁盘、网卡），然后在虚拟硬件上运行一个完整的、独立的客户机操作系统，VM之间、VM与宿主机之间完全隔离，安全性最高，但资源开销也最大，启动速度最慢。

隔离强度从弱到强依次是：chroot < Docker < 虚拟机。

我在chroot环境中无法使用ping命令，提示权限不够，这是为什么？

解答： ping命令的工作原理是通过发送ICMP回显请求报文来测试网络连通性，这需要创建原始套接字，这是一个需要特权的操作，在传统Linux系统中，ping命令的二进制文件通常设置了setuid位，这意味着任何用户执行它时，该进程都会以文件所有者（通常是root用户）的权限运行。
在你的chroot环境中，很可能只是复制了ping的二进制文件，但没有保留其setuid权限，当你使用cp命令时，默认情况下不会复制这些特殊权限位。
解决方法：
在将ping复制到chroot环境后，手动为其设置setuid权限。

# 退出chroot环境
exit
# 为chroot环境中的ping设置setuid
chmod u+s /mnt/your_chroot/bin/ping
# 重新进入chroot
chroot /mnt/your_chroot /bin/bash

现在再次尝试ping命令，应该就可以正常工作了，同样，其他需要特权的命令（如passwd）也可能需要类似的处理。