利用chroot构建linux沙盒

操作系统：centos 6.6

一、创建沙盒的运行环境
（1）创建沙箱根目录，即受限用户登陆时的根目录，可随意指定

mkdir /home/chroot

（2）拷贝及创建受限用户运行所需的目录及文件。proc目录为非必需。

cp /bin /home/chroot/ -rf
cp /lib /home/chroot/ -rf
cp /lib64 /home/chroot/ -rf
cp /usr /home/chroot/ -rf
cp /sbin /home/chroot/ -rf
cp /etc /home/chroot/ -rf
mkdir /home/chroot/dev
mkdir /home/chroot/proc

（3）创建一些特殊文件

mknod -m 666 /home/chroot/dev/null c 1 3
mknod -m 666 /home/chroot/dev/tty c 5 0
mknod -m 666 /home/chroot/dev/zero c 1 5
mknod -m 666 /home/chroot/dev/random c 1 8

二、创建受限用户
（1）创建用户

groupadd chrootuser
useradd -g chrootuser chrootuser
passwd chrootuser

（2）更新沙盒中的passwd和group文件

cp /etc/passwd /home/chroot/etc
cp /etc/group /home/chroot/etc

三、修改ssh配置
（1）修改ssh配置文件
vi /etc/ssh/sshd_config
在最后新增：
Match User chrootuser
ChrootDirectory /home/chroot
（2）重启ssh

service sshd restart

注意：
selinux可能会导致无法访问沙盒，如无法访问，可尝试关闭selinux，需要重启操作系统。
关闭selinux方法：“vi /etc/selinux/config”，将“SELINUX”的值置为“disabled”，重启操作系统，如下图：