PRoot / chroot / pivot_root

chroot

• 最古老的根切换工具
• 只是把进程的 / 换成指定目录
• 不隔离挂载表 / 不隔离进程 / 不隔离用户
• 容易逃逸、不安全
• 适合：简单测试、急救系统

chroot /new/root /bin/bash

pivot_root

• 内核级、安全、彻底的根切换
• 必须配合 mount namespace使用
• 切换后完全看不见宿主机文件
• 容器（Docker /containerd）的标准实现
• 能和 OverlayFS 完美配合

pivot_root new_root old_root

PRoot

• 用户态实现，不需要任何权限
• 模拟：chroot + pivot_root + OverlayFS + 绑定目录
• 无内核隔离，但足够安全用于普通用户隔离
• 无 root 服务器、安卓 Linux 环境、临时测试神器

proot -r /new/root /bin/bash

核心区别

1. 权限

• chroot /pivot_root：必须 root
• PRoot：普通用户就能用

2. 隔离级别

• pivot_root：内核级强隔离（容器级）
• chroot：弱隔离（容易逃逸）
• PRoot：进程级隔离（用户态模拟）

3. 是否能搭配 OverlayFS

• pivot_root + Overlay = 完美容器
• chroot + Overlay = 可以用，但不安全
• PRoot = 自带模拟 Overlay，不需要真挂载

4. 谁在生产环境用？

• pivot_root：Docker / Kubernetes / 容器
• chroot：几乎不用
• PRoot：开发、无 root 环境、嵌入式、测试

最经典组合

1. 真正容器 = Mount Namespace + OverlayFS + pivot_root

unshare -m -- sh -c ' mount -t overlay ... /merged cd /merged pivot_root . . umount -l / exec /bin/bash '

2. 无 root 容器 = PRoot（自带模拟 overlay + chroot）

proot -b upper:/ -b lower:/ /bin/bash

内核层的区别

• chroot：只改进程的fs_struct->root，内核层面几乎不做隔离，很弱。
• pivot_root：配合mount namespace，彻底切换整个挂载树 + 根，是容器级内核隔离。
• PRoot：完全不在内核里，用户态通过ptrace劫持系统调用模拟，内核视角还是原来的进程。

chroot

内核做的事

• 只修改当前进程的task_struct->fs_struct->root指向新的 dentry
• 挂载命名空间不变（共享宿主机 mount namespace）
• 不改变父进程、子进程限制（可逃逸）
• 不隔离/proc、/sys、无名套接字等

本质

只是改了一个路径解析的起点，内核其他结构完全共享。

pivot_root

前提

必须在独立的 mount namespace中（CLONE_NEWNS）。

内核做的事

1. 切换整个mount namespace 的根挂载点
2. 新旧根都必须是挂载点
3. 原子替换进程看到的完整文件系统树
4. 之后可以卸载旧根，彻底隔离宿主机文件系统

本质

是整个挂载树的切换，内核层面实现了独立的文件系统视图。

PRoot

内核做的事

内核什么隔离都没做：

• 进程还是在原来的 mount namespace
• 内核看到的路径仍然是宿主机真实路径
• 只是进程被ptrace跟踪，系统调用陷入用户态处理

PRoot 做的事

• 劫持open / stat / chdir / execve等系统调用
• 在用户态把路径重写（映射到你的 overlay/rootfs）
• 再把修改后的参数传给真实内核