在手机中运行chroot容器

前言(不想看可直接略过)：

termux-container是我写的在手机中运行chroot-unshare/proot容器的脚本，支持自动解析rootfs链接，支持跨架构(proot)运行容器，自定义程度较高。chroot-unshare容器安全性高于普通chroot容器，同时保证执行效率。它借鉴了tmoe，但是与tmoe完全不同–它让用户自定义安装过程而不是直接替用户安装容器。

知识普及(简单了解)：

chroot:字面意思是改变根目录，用于把进程限制在某一目录内，可利用这一特性来运行linux容器，但是它除目录外没有其它隔离，因此相对危险。

unshare:字面意思是不共享，用于隔离进程，需要内核namespace支持，不过至少可以做到挂载点隔离(基于mount namespace)–容器外部无法访问容器内挂载的系统目录。

proot:非特权模式binfmt_misc,chroot和mount实现，用于免root运行容器，但是效率较低，且有系统文件读写限制(脚本中/proc下文件已经借鉴tmoe的文件列表修复读写)。

chroot-unshare实现原理：

chroot-unshare是一个安全的在手机中运行chroot容器的方法，通过参考网络上的文档，我写出了和tmoe不同的实现–先通过unshare运行chroot，把进程隔离，然后再在容器内部挂载系统目录(/proc,/dev,/sys)，手动创建/dev下所有设备，防止手机分区暴露，最后把重要目录挂载为只读(只读目录列表参照了docker容器的挂载点)。

(水了一堆了，教程呢？？？)

使用教程：

打开termux，安装git，然后

安装:

git clone https://github.com/Moe-hacker/termux-container
cd termux-container/package-zh
chmod -R 755 DEBIAN
chmod 777 data/data/com.termux/files/usr/bin/container
dpkg -b . ~/termux-container.deb
apt update
apt install ~/termux-container.deb

运行：

输入container打开菜单，你将会看到如下界面：

选择2，创建一个新容器,

你将看到如下界面：

根据自己的设备情况进行选择，有root选1，没root或者你想跨架构运行容器选2。

然后根据自己的需要填写相关内容，贴出两个示例：

然后，再次输入container，选择1，即可运行容器

进阶用法参照container -h：

转载于 知乎