3 %% Copyright (C) 2000-2003 Simone Piccardi. Permission is granted to
4 %% copy, distribute and/or modify this document under the terms of the GNU Free
5 %% Documentation License, Version 1.1 or any later version published by the
6 %% Free Software Foundation; with the Invariant Sections being "Prefazione",
7 %% with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the
8 %% license is included in the section entitled "GNU Free Documentation
11 \chapter{La gestione avanzata dei file}
12 \label{cha:file_advanced}
14 In questo capitolo affronteremo le tematiche relative alla gestione avanzata
15 dei file. In particolare tratteremo delle funzioni di input/output avanzato,
16 che permettono una gestione più sofisticata dell'I/O su file, a partire da
17 quelle che permettono di gestire l'accesso contemporaneo a più file, per
18 concludere con la gestione dell'I/O mappato in memoria. Dedicheremo poi la
19 fine del capitolo alle problematiche del \textit{file locking}.
22 \section{L'\textit{I/O multiplexing}}
23 \label{sec:file_multiplexing}
25 Uno dei problemi che si presentano quando si deve operare contemporaneamente
26 su molti file usando le funzioni illustrate in
27 \capref{cha:file_unix_interface} e \capref{cha:files_std_interface} è che si
28 può essere bloccati nelle operazioni su un file mentre un altro potrebbe
29 essere disponibile. L'\textit{I/O multiplexing} nasce risposta a questo
30 problema. In questa sezione forniremo una introduzione a questa problematica
31 ed analizzeremo le varie funzioni usate per implementare questa modalità di
35 \subsection{La problematica dell'\textit{I/O multiplexing} e l'uso
36 dell'\textsl{I/O non-bloccante}}
37 \label{sec:file_noblocking}
39 Abbiamo visto in \secref{sec:sig_gen_beha}, affrontando la suddivisione fra
40 \textit{fast} e \textit{slow} system call, che in certi casi le funzioni di
41 I/O possono bloccarsi indefinitamente.\footnote{si ricordi però che questo può
42 accadere solo per le pipe, i socket\index{socket} ed alcuni file di
43 dispositivo\index{file!di dispositivo}; sui file normali le funzioni di
44 lettura e scrittura ritornano sempre subito.} Ad esempio le operazioni di
45 lettura possono bloccarsi quando non ci sono dati disponibili sul descrittore
46 su cui si sta operando.
48 Questo comportamento causa uno dei problemi più comuni che ci si trova ad
49 affrontare nelle operazioni di I/O, che si verifica quando si deve operare con
50 più file descriptor eseguendo funzioni che possono bloccarsi senza che sia
51 possibile prevedere quando questo può avvenire (il caso più classico è quello
52 di un server in attesa di dati in ingresso da vari client). Quello che può
53 accadere è di restare bloccati nell'eseguire una operazione su un file
54 descriptor che non è ``\textsl{pronto}'', quando ce ne potrebbe essere
55 un'altro disponibile. Questo comporta nel migliore dei casi una operazione
56 ritardata inutilmente nell'attesa del completamento di quella bloccata, mentre
57 nel peggiore dei casi (quando la conclusione della operazione bloccata dipende
58 da quanto si otterrebbe dal file descriptor ``\textsl{disponibile}'') si
59 potrebbe addirittura arrivare ad un \textit{deadlock}\index{deadlock}.
61 Abbiamo già accennato in \secref{sec:file_open} che è possibile prevenire
62 questo tipo di comportamento delle funzioni di I/O aprendo un file in quella
63 che viene chiamata \textsl{modalità non-bloccante}, attraverso l'uso del flag
64 \const{O\_NONBLOCK} nella chiamata di \func{open}. In questo caso le funzioni
65 di input/output eseguite sul file che si sarebbero bloccate, ritornano
66 immediatamente, restituendo l'errore \errcode{EAGAIN}.
68 L'utilizzo di questa modalità di I/O permette di risolvere il problema
69 controllando a turno i vari file descriptor, in un ciclo in cui si ripete
70 l'accesso fintanto che esso non viene garantito. Ovviamente questa tecnica,
71 detta \textit{polling}\index{polling}, è estremamente inefficiente: si tiene
72 costantemente impiegata la CPU solo per eseguire in continuazione delle system
73 call che nella gran parte dei casi falliranno.
75 Per superare questo problema è stato introdotto il concetto di \textit{I/O
76 multiplexing}, una nuova modalità di operazioni che consenta di tenere sotto
77 controllo più file descriptor in contemporanea, permettendo di bloccare un
78 processo quando le operazioni volute non sono possibili, e di riprenderne
79 l'esecuzione una volta che almeno una di quelle richieste sia disponibile, in
80 modo da poterla eseguire con la sicurezza di non restare bloccati.
82 Dato che, come abbiamo già accennato, per i normali file su disco non si ha
83 mai un accesso bloccante, l'uso più comune delle funzioni che esamineremo nei
84 prossimi paragrafi è per i server di rete, in cui esse vengono utilizzate per
85 tenere sotto controllo dei socket; pertanto ritorneremo su di esse con
86 ulteriori dettagli e qualche esempio in \secref{sec:TCP_sock_multiplexing}.
89 \subsection{Le funzioni \func{select} e \func{pselect}}
90 \label{sec:file_select}
92 Il primo ad introdurre una interfaccia per l'\textit{I/O multiplexing} è stato
93 BSD,\footnote{la funzione \func{select} è apparsa in BSD4.2 e standardizzata
94 in BSD4.4, ma è stata portata su tutti i sistemi che supportano i
95 \textit{socket}\index{socket}, compreso le varianti di System V.} con la
96 funzione \funcd{select}, il cui prototipo è:
99 \headdecl{sys/types.h}
101 \funcdecl{int select(int n, fd\_set *readfds, fd\_set *writefds, fd\_set
102 *exceptfds, struct timeval *timeout)}
104 Attende che uno dei file descriptor degli insiemi specificati diventi
107 \bodydesc{La funzione in caso di successo restituisce il numero di file
108 descriptor (anche nullo) che sono attivi, e -1 in caso di errore, nel qual
109 caso \var{errno} assumerà uno dei valori:
111 \item[\errcode{EBADF}] Si è specificato un file descriptor sbagliato in uno
113 \item[\errcode{EINTR}] La funzione è stata interrotta da un segnale.
114 \item[\errcode{EINVAL}] Si è specificato per \param{n} un valore negativo o
115 un valore non valido per \param{timeout}.
117 ed inoltre \errval{ENOMEM}.
121 La funzione mette il processo in stato di \textit{sleep} (vedi
122 \tabref{tab:proc_proc_states}) fintanto che almeno uno dei file descriptor
123 degli insiemi specificati (\param{readfds}, \param{writefds} e
124 \param{exceptfds}), non diventa attivo, per un tempo massimo specificato da
127 Per specificare quali file descriptor si intende \textsl{selezionare}, la
128 funzione usa un particolare oggetto, il \textit{file descriptor set},
129 identificato dal tipo \type{fd\_set}, che serve ad identificare un insieme di
130 file descriptor, in maniera analoga a come un \textit{signal set} (vedi
131 \secref{sec:sig_sigset}) identifica un insieme di segnali. Per la
132 manipolazione di questi \textit{file descriptor set} si possono usare delle
133 opportune macro di preprocessore:
135 \headdecl{sys/time.h}
136 \headdecl{sys/types.h}
138 \funcdecl{FD\_ZERO(fd\_set *set)}
139 Inizializza l'insieme (vuoto).
141 \funcdecl{FD\_SET(int fd, fd\_set *set)}
142 Inserisce il file descriptor \param{fd} nell'insieme.
144 \funcdecl{FD\_CLR(int fd, fd\_set *set)}
145 Rimuove il file descriptor \param{fd} nell'insieme.
147 \funcdecl{FD\_ISSET(int fd, fd\_set *set)}
148 Controlla se il file descriptor \param{fd} è nell'insieme.
151 In genere un \textit{file descriptor set} può contenere fino ad un massimo di
152 \const{FD\_SETSIZE} file descriptor. Questo valore in origine corrispondeva
153 al limite per il numero massimo di file aperti\footnote{ad esempio in Linux,
154 fino alla serie 2.0.x, c'era un limite di 256 file per processo.}, ma da
155 quando, come nelle versioni più recenti del kernel, non c'è più un limite
156 massimo, esso indica le dimensioni massime dei numeri usati nei \textit{file
157 descriptor set}.\footnote{il suo valore, secondo lo standard POSIX
158 1003.1-2001, è definito in \file{sys/select.h}, ed è pari a 1024.} Si tenga
159 presente che i \textit{file descriptor set} devono sempre essere inizializzati
160 con \macro{FD\_ZERO}; passare a \func{select} un valore non inizializzato può
161 dar luogo a comportamenti non prevedibili.
163 La funzione richiede di specificare tre insiemi distinti di file descriptor;
164 il primo, \param{readfds}, verrà osservato per rilevare la disponibilità di
165 effettuare una lettura,\footnote{per essere precisi la funzione ritornerà in
166 tutti i casi in cui la successiva esecuzione di \func{read} risulti non
167 bloccante, quindi anche in caso di \textit{end-of-file}.} il secondo,
168 \param{writefds}, per verificare la possibilità effettuare una scrittura ed il
169 terzo, \param{exceptfds}, per verificare l'esistenza di eccezioni (come i
170 messaggi urgenti su un \textit{socket}\index{socket}, vedi
171 \secref{sec:TCP_urgent_data}).
173 Dato che in genere non si tengono mai sotto controllo fino a
174 \const{FD\_SETSIZE} file contemporaneamente la funzione richiede di
175 specificare qual'è il numero massimo dei file descriptor indicati nei tre
176 insiemi precedenti. Questo viene fatto per efficienza, per evitare di passare
177 e far controllare al kernel una quantità di memoria superiore a quella
178 necessaria. Questo limite viene indicato tramite l'argomento \param{n}, che
179 deve corrispondere al valore massimo aumentato di uno.\footnote{i file
180 descriptor infatti sono contati a partire da zero, ed il valore indica il
181 numero di quelli da tenere sotto controllo; dimenticarsi di aumentare di uno
182 il valore di \param{n} è un errore comune.}
184 Infine l'argomento \param{timeout}, specifica un tempo massimo di attesa prima
185 che la funzione ritorni; se impostato a \val{NULL} la funzione attende
186 indefinitamente. Si può specificare anche un tempo nullo (cioè una struttura
187 \struct{timeval} con i campi impostati a zero), qualora si voglia
188 semplicemente controllare lo stato corrente dei file descriptor.
190 La funzione restituisce il numero di file descriptor pronti,\footnote{questo è
191 il comportamento previsto dallo standard, ma la standardizzazione della
192 funzione è recente, ed esistono ancora alcune versioni di Unix che non si
193 comportano in questo modo.} e ciascun insieme viene sovrascritto per
194 indicare i file descriptor pronti per le operazioni ad esso relative, in modo
195 da poterli controllare con \const{FD\_ISSET}. Se invece si ha un timeout
196 viene restituito un valore nullo e gli insiemi non vengono modificati. In
197 caso di errore la funzione restituisce -1, ed i valori dei tre insiemi sono
198 indefiniti e non si può fare nessun affidamento sul loro contenuto.
200 In Linux \func{select} modifica anche il valore di \param{timeout},
201 impostandolo al tempo restante in caso di interruzione prematura; questo è
202 utile quando la funzione viene interrotta da un segnale, in tal caso infatti
203 si ha un errore di \errcode{EINTR}, ed occorre rilanciare la funzione; in
204 questo modo non è necessario ricalcolare tutte le volte il tempo
205 rimanente.\footnote{questo può causare problemi di portabilità sia quando si
206 trasporta codice scritto su Linux che legge questo valore, sia quando si
207 usano programmi scritti per altri sistemi che non dispongono di questa
208 caratteristica e ricalcolano \param{timeout} tutte le volte. In genere la
209 caratteristica è disponibile nei sistemi che derivano da System V e non
210 disponibile per quelli che derivano da BSD.}
212 Uno dei problemi che si presentano con l'uso di \func{select} è che il suo
213 comportamento dipende dal valore del file descriptor che si vuole tenere sotto
214 controllo. Infatti il kernel riceve con \param{n} un valore massimo per tale
215 valore, e per capire quali sono i file descriptor da tenere sotto controllo
216 dovrà effettuare una scansione su tutto l'intervallo, che può anche essere
217 anche molto ampio anche se i file descriptor sono solo poche unità; tutto ciò
218 ha ovviamente delle conseguenze ampiamente negative per le prestazioni.
220 Inoltre c'è anche il problema che il numero massimo dei file che si possono
221 tenere sotto controllo, la funzione è nata quando il kernel consentiva un
222 numero massimo di 1024 file descriptor per processo, adesso che il numero può
223 essere arbitario si viene a creare una dipendenza del tutto artificiale dalle
224 dimensioni della struttura \type{fd\_set}, che può necessitare di essere
225 estesa, con ulteriori perdite di prestazioni.
227 Lo standard POSIX è rimasto a lungo senza primitive per l'\textit{I/O
228 multiplexing}, introdotto solo con le ultime revisioni dello standard (POSIX
229 1003.1g-2000 e POSIX 1003.1-2001). La scelta è stata quella di seguire
230 l'interfaccia creata da BSD, ma prevede che tutte le funzioni ad esso relative
231 vengano dichiarate nell'header \file{sys/select.h}, che sostituisce i
232 precedenti, ed inoltre aggiunge a \func{select} una nuova funzione
233 \funcd{pselect},\footnote{il supporto per lo standard POSIX 1003.1-2001, ed
234 l'header \file{sys/select.h}, compaiono in Linux a partire dalle \acr{glibc}
235 2.1. Le \acr{libc4} e \acr{libc5} non contengono questo header, le
236 \acr{glibc} 2.0 contengono una definizione sbagliata di \func{psignal},
237 senza l'argomento \param{sigmask}, la definizione corretta è presente dalle
238 \acr{glibc} 2.1-2.2.1 se si è definito \macro{\_GNU\_SOURCE} e nelle
239 \acr{glibc} 2.2.2-2.2.4 se si è definito \macro{\_XOPEN\_SOURCE} con valore
240 maggiore di 600.} il cui prototipo è:
241 \begin{prototype}{sys/select.h}
242 {int pselect(int n, fd\_set *readfds, fd\_set *writefds, fd\_set *exceptfds,
243 struct timespec *timeout, sigset\_t *sigmask)}
245 Attende che uno dei file descriptor degli insiemi specificati diventi
248 \bodydesc{La funzione in caso di successo restituisce il numero di file
249 descriptor (anche nullo) che sono attivi, e -1 in caso di errore, nel qual
250 caso \var{errno} assumerà uno dei valori:
252 \item[\errcode{EBADF}] Si è specificato un file descriptor sbagliato in uno
254 \item[\errcode{EINTR}] La funzione è stata interrotta da un segnale.
255 \item[\errcode{EINVAL}] Si è specificato per \param{n} un valore negativo o
256 un valore non valido per \param{timeout}.
258 ed inoltre \errval{ENOMEM}.}
261 La funzione è sostanzialmente identica a \func{select}, solo che usa una
262 struttura \struct{timespec} (vedi \figref{fig:sys_timeval_struct}) per
263 indicare con maggiore precisione il timeout e non ne aggiorna il valore in
264 caso di interruzione. Inoltre prende un argomento aggiuntivo \param{sigmask}
265 che è il puntatore ad una maschera di segnali (si veda
266 \secref{sec:sig_sigmask}). La maschera corrente viene sostituita da questa
267 immediatamente prima di eseguire l'attesa, e ripristinata al ritorno della
270 L'uso di \param{sigmask} è stato introdotto allo scopo di prevenire possibili
271 race condition\index{race condition} quando ci si deve porre in attesa sia di
272 un segnale che di dati.\footnote{in Linux però non è stata ancora introdotta
273 la relativa system call, pertanto la funzione è implementata nelle
274 \acr{glibc} attraverso \func{select} e la possibilità di race condition
275 permane.} La tecnica classica è quella di utilizzare il gestore per
276 impostare una variabile globale e controllare questa nel corpo principale del
277 programma; abbiamo visto in \secref{sec:sig_example} come questo lasci spazio
278 a possibili race condition, per cui diventa essenziale utilizzare
279 \func{sigprocmask} per disabilitare la ricezione del segnale prima di eseguire
280 il controllo e riabilitarlo dopo l'esecuzione delle relative operazioni, onde
281 evitare l'arrivo di un segnale immediatamente dopo il controllo, che andrebbe
284 Nel nostro caso il problema si pone quando oltre al segnale si devono tenere
285 sotto controllo anche dei file descriptor con \func{select}, in questo caso si
286 può fare conto sul fatto che all'arrivo di un segnale essa verrebbe interrotta
287 e si potrebbero eseguire di conseguenza le operazioni relative al segnale e
288 alla gestione dati con un ciclo del tipo:
289 \includecodesnip{listati/select_race.c}
290 qui però emerge una race condition, perché se il segnale arriva prima della
291 chiamata a \func{select}, questa non verrà interrotta, e la ricezione del
292 segnale non sarà rilevata.
294 Per questo è stata introdotta \func{pselect}, che attraverso l'argomento
295 \param{sigmask} permette di riabilitare la ricezione il segnale
296 contestualmente all'esecuzione della funzione, e ribloccandolo non appena essa
297 ritorna. In questo modo il precedente codice potrebbe essere essere modificato
299 \includecodesnip{listati/pselect_norace.c}
300 in questo caso utilizzando \var{oldmask} durante l'esecuzione di
301 \func{pselect} la ricezione del segnale sarà abilitata, ed in caso di
302 interruzione si potranno eseguire le relative operazioni.
306 \subsection{La funzione \func{poll}}
307 \label{sec:file_poll}
309 System V, invece di utilizzare l'interfaccia di \func{select}, che è una
310 estensione creata nello sviluppo di BSD, ha introdotto una sua interfaccia per
311 gestire l'\textit{I/O multiplexing}, basata sulla funzione
312 \funcd{poll},\footnote{la funzione è prevista dallo standard XPG4, ed è stata
313 introdotta in Linux come system call a partire dal kernel 2.1.23 ed inserita
314 nelle \acr{libc} 5.4.28.} il cui prototipo è:
315 \begin{prototype}{sys/poll.h}
316 {int poll(struct pollfd *ufds, unsigned int nfds, int timeout)}
318 La funzione attende un cambiamento di stato per uno dei file descriptor
319 specificati da \param{ufds}.
321 \bodydesc{La funzione restituisce il numero di file descriptor con attività
322 in caso di successo, o 0 se c'è stato un timeout; in caso di errore viene
323 restituito -1 ed \var{errno} assumerà uno dei valori:
325 \item[\errcode{EBADF}] Si è specificato un file descriptor sbagliato in uno
327 \item[\errcode{EINTR}] La funzione è stata interrotta da un segnale.
328 \item[\errcode{EINVAL}] Il valore di \param{nfds} eccede il limite
329 \macro{RLIMIT\_NOFILE}.
331 ed inoltre \errval{EFAULT} e \errval{ENOMEM}.}
334 La funzione permette di tenere sotto controllo un certo numero \param{ndfs} di
335 file descriptor, specificati attraverso un vettore di puntatori a strutture
336 \struct{pollfd}. Come \func{select} anche \func{poll} permette di
337 interrompere l'attesa dopo un certo tempo, che va specificato attraverso
338 l'argomento \param{timeout} in numero di millisecondi: un valore negativo
339 indica un'attesa indefinita mentre si può usare un valore nullo per eseguire
340 la funzione in modalità \textsl{non-bloccante}.
343 \footnotesize \centering
344 \begin{minipage}[c]{15cm}
345 \includestruct{listati/pollfd.h}
348 \caption{La struttura \structd{pollfd}, utilizzata per specificare le
349 modalità di controllo di un file descriptor alla funzione \func{poll}.}
350 \label{fig:file_pollfd}
353 Per ciascun file da controllare deve essere opportunamente predisposta una
354 struttura \struct{pollfd}, la cui definizione è riportata in
355 \figref{fig:file_pollfd}. La struttura prevede tre campi: il campo \var{fd}
356 viene utilizzato per specificare il file descriptor relativo al file da
357 controllare, mentre nel campo \var{events} deve essere specificata una
358 maschera binaria data in ingresso che indichi il tipo di evento che si vuole
359 controllare, il kernel restituirà il relativo risultato nel campo
362 Le costanti che definiscono i valori relativi ai bit usati nelle maschere
363 binarie dei campi \var{events} e \var{revents} sono riportati in
364 \tabref{tab:file_pollfd_flags}, insieme al loro significato. Le si sono
365 suddivise in tre gruppi, nel primo gruppo si sono indicati i bit utilizzati
366 per controllare l'attività in ingresso, nel secondo quelli per l'attività in
367 uscita, mentre il terzo gruppo contiene dei valori che vengono utilizzati solo
368 nel campo \var{revents} per notificare delle condizioni di errore.
373 \begin{tabular}[c]{|l|l|}
375 \textbf{Flag} & \textbf{Significato} \\
378 \const{POLLIN} & È possibile la lettura.\\
379 \const{POLLRDNORM}& Sono disponibili in lettura dati normali.\\
380 \const{POLLRDBAND}& Sono disponibili in lettura dati prioritari. \\
381 \const{POLLPRI} & È possibile la lettura di dati urgenti.\\
383 \const{POLLOUT} & È possibile la scrittura immediata.\\
384 \const{POLLWRNORM}& È possibile la scrittura di dati normali. \\
385 \const{POLLWRBAND}& È possibile la scrittura di dati prioritari. \\
387 \const{POLLERR} & C'è una condizione di errore.\\
388 \const{POLLHUP} & Si è verificato un hung-up.\\
389 \const{POLLNVAL} & Il file descriptor non è aperto.\\
391 \const{POLLMSG} & Definito per compatobilità con SysV.\\
394 \caption{Costanti per l'identificazione dei vari bit dei campi
395 \var{events} e \var{revents} di \struct{pollfd}.}
396 \label{tab:file_pollfd_flags}
399 Infine il valore \const{POLLMSG} non viene utilizzato ed è definito solo per
400 compatibilità con l'implementazione di SysV, dove indica segnale
401 \const{SIGPOLL} è arrivato alla cima dello \textit{stream}. Gli
402 \textit{stream} sono una interfaccia specifica di SysV non presente in Linux,
403 e non hanno nulla a che fare con i file \textit{stream} delle librerie
404 standard del C, è da questi che derivano i nomi delle costanti, in quanto per
405 essi sono definite tre classi di dati: \textsl{normali}, \textit{prioritari}
406 ed \textit{urgenti}. Nel caso di Linux la distinzione ha senso solo nel caso
407 per i dati \textit{out-of-band} dei socket (vedi
408 \secref{sec:TCP_urgent_data}), ma su questo e su come \func{poll} reagisce
409 alle varie condizioni dei socket torneremo in \secref{sec:TCP_serv_poll}, dove
410 vedremo anche un esempio del suo utilizzo.
412 In caso di successo funzione ritorna restituendo il numero di file (un valore
413 positivo) per i quali si è verificata una delle condizioni di attesa richieste
414 o per i quali si è verificato un errore (nel qual caso vengono utilizzati i
415 valori di \tabref{tab:file_pollfd_flags} esclusivi di \var{revents}). Un
416 valore nullo indica che si è raggiunto il timeout, mentre un valore negativo
417 indica un errore nella chiamata, il cui codice viene riportato al solito
421 %\subsection{L'interfaccia di \textit{epoll}}
422 %\label{sec:file_epoll}
428 \section{Altre modalità e funzioni di I/O avanzato}
429 \label{sec:file_advanced_io}
431 Benché l'\textit{I/O multiplexing} sia stata la prima, e sia tutt'ora una fra
432 le più diffuse modalità di gestire l'I/O in situazioni complesse che
433 coivolgono molti file, esistono altre modalità di gestione delle stesse
434 problematiche, oltre che differenti interfacce per la gestione di altre
435 problematiche avanzate riguardanti l'I/O su file, tratteremo tutto ciò in
439 \subsection{L'I/O asincrono}
440 \label{sec:file_asyncronous_io}
442 Una modalità alternativa all'uso dell'\textit{I/O multiplexing} è quella di
443 fare ricorso al cosiddetto \textsl{I/O asincrono}. Il concetto base
444 dell'\textsl{I/O asincrono} è che le funzioni di I/O non attendono il
445 completamento delle operazioni prima di ritornare, così che il processo non
446 viene bloccato. In questo modo diventa ad esempio possibile effettuare una
447 richiesta preventiva di dati, in modo da poter effettuare in contemporanea le
448 operazioni di calcolo e quelle di I/O.
450 Abbiamo accennato in \secref{sec:file_open} che è possibile, attraverso l'uso
451 del flag \const{O\_ASYNC},\footnote{l'uso del flag di \const{O\_ASYNC} e dei
452 comandi \const{F\_SETOWN} e \const{F\_GETOWN} per \func{fcntl} è specifico
453 di Linux e BSD.} aprire un file in modalità asincrona, così come è possibile
454 attivare in un secondo tempo questa modalità impostando questo flag attraverso
455 l'uso di \func{fcntl} con il comando \const{F\_SETFL} (vedi
456 \secref{sec:file_fcntl}).
458 In realtà in questo caso non si tratta di I/O asincrono vero e proprio, quanto
459 di un meccanismo asincrono di notifica delle variazione dello stato del file
460 descriptor; quello che succede è che il sistema genera un segnale (normalmente
461 \const{SIGIO}, ma è possibile usarne altri) tutte le volte che diventa
462 possibile leggere o scrivere dal file descriptor che si è posto in questa
463 modalità. Si può inoltre selezionare, con il comando \const{F\_SETOWN} di
464 \func{fcntl}, quale processo (o gruppo di processi) riceverà il segnale.
466 In questo modo si può evitare l'uso delle funzioni \func{poll} o \func{select}
467 che, quando vengono usate con un numero molto grande di file descriptor, non
468 hanno buone prestazioni. In tal caso infatti la maggior parte del loro tempo
469 di esecuzione è impegnato ad eseguire una scansione su tutti i file descriptor
470 tenuti sotto controllo per determinare quali di essi (in genere una piccola
471 percentuale) sono diventati attivi.
473 Tuttavia con l'implementazione classica dei segnali questa modalità di I/O
474 presenta notevoli problemi, dato che non è possibile determinare, quando sono
475 più di uno, qual'è il file descriptor responsabile dell'emissione del segnale.
476 Linux però supporta le estensioni POSIX.1b dei segnali che permettono di
477 superare il problema facendo ricorso alle informazioni aggiuntive restituite
478 attraverso la struttura \struct{siginfo\_t}, utilizzando la forma estesa
479 \var{sa\_sigaction} del gestore (si riveda quanto illustrato in
480 \secref{sec:sig_sigaction}).
482 Per far questo però occorre utilizzare le funzionalità dei segnali real-time
483 (vedi \secref{sec:sig_real_time}) impostando esplicitamente con il comando
484 \const{F\_SETSIG} di \func{fcntl} un segnale real-time da inviare in caso di
485 I/O asincrono (il segnale predefinito è \const{SIGIO}). In questo caso il
486 gestore tutte le volte che riceverà \const{SI\_SIGIO} come valore del
487 campo \var{si\_code}\footnote{il valore resta \const{SI\_SIGIO} qualunque sia
488 il segnale che si è associato all'I/O asincrono, ed indica appunto che il
489 segnale è stato generato a causa di attività nell'I/O asincrono.} di
490 \struct{siginfo\_t}, troverà nel campo \var{si\_fd} il valore del file
491 descriptor che ha generato il segnale.
493 Un secondo vantaggio dell'uso dei segnali real-time è che essendo dotati di
494 una coda di consegna ogni segnale sarà associato ad uno solo file descriptor;
495 inoltre sarà possibile stabilire delle priorità nella risposta a seconda del
496 segnale usato. In questo modo si può identificare immediatamente un file su
497 cui l'accesso è diventato possibile evitando completamente l'uso di funzioni
498 come \func{poll} e \func{select}, almeno fintanto che non si satura la coda;
499 si eccedono le dimensioni di quest'ultima; in tal caso infatti il kernel, non
500 potendo più assicurare il comportamento corretto per un segnale real-time,
501 invierà al suo posto un \const{SIGIO}, su cui si accumuleranno tutti i segnali
502 in eccesso, e si dovrà determinare al solito modo quali sono i file diventati
505 Benché la modalità di apertura asincrona di un file possa risultare utile in
506 varie occasioni (in particolar modo con i socket\index{socket} e gli altri
507 file per i quali le funzioni di I/O sono system call lente), essa è comunque
508 limitata alla notifica della disponibilità del file descriptor per le
509 operazioni di I/O, e non ad uno svolgimento asincrono delle medesime. Lo
510 standard POSIX.1b definisce anche una interfaccia apposita per l'I/O
511 asincrono, che prevede un insieme di funzioni dedicate, completamente separate
512 rispetto a quelle usate normalmente.
514 In generale questa interfaccia è completamente astratta e può essere
515 implementata sia direttamente nel kernel, che in user space attraverso l'uso
516 di thread. Al momento esiste una sola versione stabile di questa interfaccia,
517 quella delle \acr{glibc}, che è realizzata completamente in user space, ed
518 accessibile linkando i programmi con la libreria \file{librt}. Nei kernel
519 della nuova serie è stato anche introdotta (a partire dal 2.5.32) un nuovo
520 layer per l'I/O asincrono.
522 Lo standard prevede che tutte le operazioni di I/O asincrono siano controllate
523 attraverso l'uso di una apposita struttura \struct{aiocb} (il cui nome sta per
524 \textit{asyncronous I/O control block}), che viene passata come argomento a
525 tutte le funzioni dell'interfaccia. La sua definizione, come effettuata in
526 \file{aio.h}, è riportata in \figref{fig:file_aiocb}. Nello steso file è
527 definita la macro \macro{\_POSIX\_ASYNCHRONOUS\_IO}, che dichiara la
528 disponibilità dell'interfaccia per l'I/O asincrono.
531 \footnotesize \centering
532 \begin{minipage}[c]{15cm}
533 \includestruct{listati/aiocb.h}
536 \caption{La struttura \structd{aiocb}, usata per il controllo dell'I/O
538 \label{fig:file_aiocb}
541 Le operazioni di I/O asincrono possono essere effettuate solo su un file già
542 aperto; il file deve inoltre supportare la funzione \func{lseek}, pertanto
543 terminali e pipe sono esclusi. Non c'è limite al numero di operazioni
544 contemporanee effettuabili su un singolo file. Ogni operazione deve
545 inizializzare opportunamente un \textit{control block}. Il file descriptor su
546 cui operare deve essere specificato tramite il campo \var{aio\_fildes}; dato
547 che più operazioni possono essere eseguita in maniera asincrona, il concetto
548 di posizione corrente sul file viene a mancare; pertanto si deve sempre
549 specificare nel campo \var{aio\_offset} la posizione sul file da cui i dati
550 saranno letti o scritti. Nel campo \var{aio\_buf} deve essere specificato
551 l'indirizzo del buffer usato per l'I/O, ed in \var{aio\_nbytes} la lunghezza
552 del blocco di dati da trasferire.
554 Il campo \var{aio\_reqprio} permette di impostare la priorità delle operazioni
555 di I/O.\footnote{in generale perché ciò sia possibile occorre che la
556 piattaforma supporti questa caratteristica, questo viene indicato definendo
557 le macro \macro{\_POSIX\_PRIORITIZED\_IO}, e
558 \macro{\_POSIX\_PRIORITY\_SCHEDULING}.} La priorità viene impostata a
559 partire da quella del processo chiamante (vedi \secref{sec:proc_priority}),
560 cui viene sottratto il valore di questo campo. Il campo
561 \var{aio\_lio\_opcode} è usato solo dalla funzione \func{lio\_listio}, che,
562 come vedremo, permette di eseguire con una sola chiamata una serie di
563 operazioni, usando un vettore di \textit{control block}. Tramite questo campo
564 si specifica quale è la natura di ciascuna di esse.
567 \footnotesize \centering
568 \begin{minipage}[c]{15cm}
569 \includestruct{listati/sigevent.h}
572 \caption{La struttura \structd{sigevent}, usata per specificare le modalità
573 di notifica degli eventi relativi alle operazioni di I/O asincrono.}
574 \label{fig:file_sigevent}
577 Infine il campo \var{aio\_sigevent} è una struttura di tipo \struct{sigevent}
578 che serve a specificare il modo in cui si vuole che venga effettuata la
579 notifica del completamento delle operazioni richieste. La struttura è
580 riportata in \secref{fig:file_sigevent}; il campo \var{sigev\_notify} è quello
581 che indica le modalità della notifica, esso può assumere i tre valori:
582 \begin{basedescript}{\desclabelwidth{3.0cm}}
583 \item[\const{SIGEV\_NONE}] Non viene inviata nessuna notifica.
584 \item[\const{SIGEV\_SIGNAL}] La notifica viene effettuata inviando al processo
585 chiamante il segnale specificato da \var{sigev\_signo}; se il gestore di
586 questo è stato installato con \const{SA\_SIGINFO} gli verrà restituito il
587 valore di \var{sigev\_value} (la cui definizione è in
588 \figref{fig:sig_sigval}) come valore del campo \var{si\_value} di
590 \item[\const{SIGEV\_THREAD}] La notifica viene effettuata creando un nuovo
591 thread che esegue la funzione specificata da \var{sigev\_notify\_function}
592 con argomento \var{sigev\_value}, e con gli attributi specificati da
593 \var{sigev\_notify\_attribute}.
596 Le due funzioni base dell'interfaccia per l'I/O asincrono sono
597 \funcd{aio\_read} ed \funcd{aio\_write}. Esse permettono di richiedere una
598 lettura od una scrittura asincrona di dati, usando la struttura \struct{aiocb}
599 appena descritta; i rispettivi prototipi sono:
603 \funcdecl{int aio\_read(struct aiocb *aiocbp)}
604 Richiede una lettura asincrona secondo quanto specificato con \param{aiocbp}.
606 \funcdecl{int aio\_write(struct aiocb *aiocbp)}
607 Richiede una scrittura asincrona secondo quanto specificato con
610 \bodydesc{Le funzioni restituiscono 0 in caso di successo, e -1 in caso di
611 errore, nel qual caso \var{errno} assumerà uno dei valori:
613 \item[\errcode{EBADF}] Si è specificato un file descriptor sbagliato.
614 \item[\errcode{ENOSYS}] La funzione non è implementata.
615 \item[\errcode{EINVAL}] Si è specificato un valore non valido per i campi
616 \var{aio\_offset} o \var{aio\_reqprio} di \param{aiocbp}.
617 \item[\errcode{EAGAIN}] La coda delle richieste è momentaneamente piena.
622 Entrambe le funzioni ritornano immediatamente dopo aver messo in coda la
623 richiesta, o in caso di errore. Non è detto che gli errori \errcode{EBADF} ed
624 \errcode{EINVAL} siano rilevati immediatamente al momento della chiamata,
625 potrebbero anche emergere nelle fasi successive delle operazioni. Lettura e
626 scrittura avvengono alla posizione indicata da \var{aio\_offset}, a meno che
627 il file non sia stato aperto in \textit{append mode} (vedi
628 \secref{sec:file_open}), nel qual caso le scritture vengono effettuate
629 comunque alla fine de file, nell'ordine delle chiamate a \func{aio\_write}.
631 Si tenga inoltre presente che deallocare la memoria indirizzata da
632 \param{aiocbp} o modificarne i valori prima della conclusione di una
633 operazione può dar luogo a risultati impredicibili, perché l'accesso ai vari
634 campi per eseguire l'operazione può avvenire in un momento qualsiasi dopo la
635 richiesta. Questo comporta che non si devono usare per \param{aiocbp}
636 variabili automatiche e che non si deve riutilizzare la stessa struttura per
637 un'altra operazione fintanto che la precedente non sia stata ultimata. In
638 generale per ogni operazione si deve utilizzare una diversa struttura
641 Dato che si opera in modalità asincrona, il successo di \func{aio\_read} o
642 \func{aio\_write} non implica che le operazioni siano state effettivamente
643 eseguite in maniera corretta; per verificarne l'esito l'interfaccia prevede
644 altre due funzioni, che permettono di controllare lo stato di esecuzione. La
645 prima è \funcd{aio\_error}, che serve a determinare un eventuale stato di
646 errore; il suo prototipo è:
647 \begin{prototype}{aio.h}
648 {int aio\_error(const struct aiocb *aiocbp)}
650 Determina lo stato di errore delle operazioni di I/O associate a
653 \bodydesc{La funzione restituisce 0 se le operazioni si sono concluse con
654 successo, altrimenti restituisce il codice di errore relativo al loro
658 Se l'operazione non si è ancora completata viene restituito l'errore di
659 \errcode{EINPROGRESS}. La funzione ritorna zero quando l'operazione si è
660 conclusa con successo, altrimenti restituisce il codice dell'errore
661 verificatosi, ed esegue la corrispondente impostazione di \var{errno}. Il
662 codice può essere sia \errcode{EINVAL} ed \errcode{EBADF}, dovuti ad un valore
663 errato per \param{aiocbp}, che uno degli errori possibili durante l'esecuzione
664 dell'operazione di I/O richiesta, nel qual caso saranno restituiti, a seconda
665 del caso, i codici di errore delle system call \func{read}, \func{write} e
668 Una volta che si sia certi che le operazioni siano state concluse (cioè dopo
669 che una chiamata ad \func{aio\_error} non ha restituito
670 \errcode{EINPROGRESS}), si potrà usare la funzione \funcd{aio\_return}, che
671 permette di verificare il completamento delle operazioni di I/O asincrono; il
673 \begin{prototype}{aio.h}
674 {ssize\_t aio\_return(const struct aiocb *aiocbp)}
676 Recupera il valore dello stato di ritorno delle operazioni di I/O associate a
679 \bodydesc{La funzione restituisce lo stato di uscita dell'operazione
683 La funzione deve essere chiamata una sola volte per ciascuna operazione
684 asincrona, essa infatti fa sì che il sistema rilasci le risorse ad essa
685 associate. É per questo motivo che occorre chiamare la funzione solo dopo che
686 l'operazione cui \param{aiocbp} fa riferimento si è completata. Una chiamata
687 precedente il completamento delle operazioni darebbe risultati indeterminati.
689 La funzione restituisce il valore di ritorno relativo all'operazione eseguita,
690 così come ricavato dalla sottostante system call (il numero di byte letti,
691 scritti o il valore di ritorno di \func{fsync}). É importante chiamare sempre
692 questa funzione, altrimenti le risorse disponibili per le operazioni di I/O
693 asincrono non verrebbero liberate, rischiando di arrivare ad un loro
696 Oltre alle operazioni di lettura e scrittura l'interfaccia POSIX.1b mette a
697 disposizione un'altra operazione, quella di sincronizzazione dell'I/O,
698 compiuta dalla funzione \func{aio\_fsync}, che ha lo stesso effetto della
699 analoga \func{fsync}, ma viene eseguita in maniera asincrona; il suo prototipo
701 \begin{prototype}{aio.h}
702 {ssize\_t aio\_return(int op, struct aiocb *aiocbp)}
704 Richiede la sincronizzazione dei dati per il file indicato da \param{aiocbp}.
706 \bodydesc{La funzione restituisce 0 in caso di successo e -1 in caso di
707 errore, che può essere, con le stesse modalità di \func{aio\_read},
708 \errval{EAGAIN}, \errval{EBADF} o \errval{EINVAL}.}
711 La funzione richiede la sincronizzazione delle operazioni di I/O, ritornando
712 immediatamente. L'esecuzione effettiva della sincronizzazione dovrà essere
713 verificata con \func{aio\_error} e \func{aio\_return} come per le operazioni
714 di lettura e scrittura. L'argomento \param{op} permette di indicare la
715 modalità di esecuzione, se si specifica il valore \const{O\_DSYNC} le
716 operazioni saranno completate con una chiamata a \func{fdatasync}, se si
717 specifica \const{O\_SYNC} con una chiamata a \func{fsync} (per i dettagli vedi
718 \secref{sec:file_sync}).
720 Il successo della chiamata assicura la sincronizzazione delle operazioni fino
721 allora richieste, niente è garantito riguardo la sincronizzazione dei dati
722 relativi ad eventuali operazioni richieste successivamente. Se si è
723 specificato un meccanismo di notifica questo sarà innescato una volta che le
724 operazioni di sincronizzazione dei dati saranno completate.
726 In alcuni casi può essere necessario interrompere le operazioni (in genere
727 quando viene richiesta un'uscita immediata dal programma), per questo lo
728 standard POSIX.1b prevede una funzioni apposita, \funcd{aio\_cancel}, che
729 permette di cancellare una operazione richiesta in precedenza; il suo
731 \begin{prototype}{aio.h}
732 {int aio\_cancel(int fildes, struct aiocb *aiocbp)}
734 Richiede la cancellazione delle operazioni sul file \param{fildes} specificate
737 \bodydesc{La funzione restituisce il risultato dell'operazione con un codice
738 di positivo, e -1 in caso di errore, che avviene qualora si sia specificato
739 un valore non valido di \param{fildes}, imposta \var{errno} al valore
743 La funzione permette di cancellare una operazione specifica sul file
744 \param{fildes}, o tutte le operazioni pendenti, specificando \val{NULL} come
745 valore di \param{aiocbp}. Quando una operazione viene cancellata una
746 successiva chiamata ad \func{aio\_error} riporterà \errcode{ECANCELED} come
747 codice di errore, ed il suo codice di ritorno sarà -1, inoltre il meccanismo
748 di notifica non verrà invocato. Se si specifica una operazione relativa ad un
749 altro file descriptor il risultato è indeterminato.
751 In caso di successo, i possibili valori di ritorno per \func{aio\_cancel} sono
752 tre (anch'essi definiti in \file{aio.h}):
753 \begin{basedescript}{\desclabelwidth{3.0cm}}
754 \item[\const{AIO\_ALLDONE}] indica che le operazioni di cui si è richiesta la
755 cancellazione sono state già completate,
757 \item[\const{AIO\_CANCELED}] indica che tutte le operazioni richieste sono
760 \item[\const{AIO\_NOTCANCELED}] indica che alcune delle operazioni erano in
761 corso e non sono state cancellate.
764 Nel caso si abbia \const{AIO\_NOTCANCELED} occorrerà chiamare
765 \func{aio\_error} per determinare quali sono le operazioni effettivamente
766 cancellate. Le operazioni che non sono state cancellate proseguiranno il loro
767 corso normale, compreso quanto richiesto riguardo al meccanismo di notifica
768 del loro avvenuto completamento.
770 Benché l'I/O asincrono preveda un meccanismo di notifica, l'interfaccia
771 fornisce anche una apposita funzione, \funcd{aio\_suspend}, che permette di
772 sospendere l'esecuzione del processo chiamante fino al completamento di una
773 specifica operazione; il suo prototipo è:
774 \begin{prototype}{aio.h}
775 {int aio\_suspend(const struct aiocb * const list[], int nent, const struct
778 Attende, per un massimo di \param{timeout}, il completamento di una delle
779 operazioni specificate da \param{list}.
781 \bodydesc{La funzione restituisce 0 se una (o più) operazioni sono state
782 completate, e -1 in caso di errore nel qual caso \var{errno} assumerà uno
785 \item[\errcode{EAGAIN}] Nessuna operazione è stata completata entro
787 \item[\errcode{ENOSYS}] La funzione non è implementata.
788 \item[\errcode{EINTR}] La funzione è stata interrotta da un segnale.
793 La funzione permette di bloccare il processo fintanto che almeno una delle
794 \param{nent} operazioni specificate nella lista \param{list} è completata, per
795 un tempo massimo specificato da \param{timout}, o fintanto che non arrivi un
796 segnale.\footnote{si tenga conto che questo segnale può anche essere quello
797 utilizzato come meccanismo di notifica.} La lista deve essere inizializzata
798 con delle strutture \struct{aiocb} relative ad operazioni effettivamente
799 richieste, ma può contenere puntatori nulli, che saranno ignorati. In caso si
800 siano specificati valori non validi l'effetto è indefinito. Un valore
801 \val{NULL} per \param{timout} comporta l'assenza di timeout.
803 Lo standard POSIX.1b infine ha previsto pure una funzione, \funcd{lio\_listio},
804 che permette di effettuare la richiesta di una intera lista di operazioni di
805 lettura o scrittura; il suo prototipo è:
806 \begin{prototype}{aio.h}
807 {int lio\_listio(int mode, struct aiocb * const list[], int nent, struct
810 Richiede l'esecuzione delle operazioni di I/O elencata da \param{list},
811 secondo la modalità \param{mode}.
813 \bodydesc{La funzione restituisce 0 in caso di successo, e -1 in caso di
814 errore, nel qual caso \var{errno} assumerà uno dei valori:
816 \item[\errcode{EAGAIN}] Nessuna operazione è stata completata entro
818 \item[\errcode{EINVAL}] Si è passato un valore di \param{mode} non valido
819 o un numero di operazioni \param{nent} maggiore di
820 \const{AIO\_LISTIO\_MAX}.
821 \item[\errcode{ENOSYS}] La funzione non è implementata.
822 \item[\errcode{EINTR}] La funzione è stata interrotta da un segnale.
827 La funzione esegue la richiesta delle \param{nent} operazioni indicate dalla
828 lista \param{list}; questa deve contenere gli indirizzi di altrettanti
829 \textit{control block}, opportunamente inizializzati; in particolare nel caso
830 dovrà essere specificato il tipo di operazione tramite il campo
831 \var{aio\_lio\_opcode}, che può prendere i tre valori:
832 \begin{basedescript}{\desclabelwidth{2.0cm}}
833 \item[\const{LIO\_READ}] si richiede una operazione di lettura.
834 \item[\const{LIO\_WRITE}] si richiede una operazione di scrittura.
835 \item[\const{LIO\_NOP}] non si effettua nessuna operazione.
837 l'ultimo valore viene usato quando si ha a che fare con un vettore di
838 dimensione fissa, per poter specificare solo alcune operazioni, o quando si è
839 dovuto cancellare delle operazioni e si deve ripetere la richiesta per quelle
842 L'argomento \param{mode} permette di stabilire il comportamento della
843 funzione, se viene specificato il valore \const{LIO\_WAIT} la funzione si
844 blocca fino al completamento di tutte le operazioni richieste; se invece si
845 specifica \const{LIO\_NOWAIT} la funzione ritorna immediatamente dopo aver
846 messo in coda tutte le richieste. In questo caso il chiamante può richiedere
847 la notifica del completamento di tutte le richieste, impostando l'argomento
848 \param{sig} in maniera analoga a come si fa per il campo \var{aio\_sigevent}
853 \subsection{I/O vettorizzato}
854 \label{sec:file_multiple_io}
856 Un caso abbastanza comune è quello in cui ci si trova a dover eseguire una
857 serie multipla di operazioni di I/O, come una serie di letture o scritture di
858 vari buffer. Un esempio tipico è quando i dati sono strutturati nei campi di
859 una struttura ed essi devono essere caricati o salvati su un file. Benché
860 l'operazione sia facilmente eseguibile attraverso una serie multipla di
861 chiamate, ci sono casi in cui si vuole poter contare sulla atomicità delle
864 Per questo motivo BSD 4.2\footnote{Le due funzioni sono riprese da BSD4.4 ed
865 integrate anche dallo standard Unix 98. Fino alle libc5, Linux usava
866 \type{size\_t} come tipo dell'argomento \param{count}, una scelta logica,
867 che però è stata dismessa per restare aderenti allo standard.} ha introdotto
868 due nuove system call, \funcd{readv} e \funcd{writev}, che permettono di
869 effettuare con una sola chiamata una lettura o una scrittura su una serie di
870 buffer (quello che viene chiamato \textsl{I/O vettorizzato}. I relativi
875 \funcdecl{int readv(int fd, const struct iovec *vector, int count)} Esegue
876 una lettura vettorizzata da \param{fd} nei \param{count} buffer specificati
879 \funcdecl{int writev(int fd, const struct iovec *vector, int count)} Esegue
880 una scrittura vettorizzata da \param{fd} nei \param{count} buffer
881 specificati da \param{vector}.
883 \bodydesc{Le funzioni restituiscono il numero di byte letti o scritti in
884 caso di successo, e -1 in caso di errore, nel qual caso \var{errno}
885 assumerà uno dei valori:
887 \item[\errcode{EBADF}] si è specificato un file descriptor sbagliato.
888 \item[\errcode{EINVAL}] si è specificato un valore non valido per uno degli
889 argomenti (ad esempio \param{count} è maggiore di \const{MAX\_IOVEC}).
890 \item[\errcode{EINTR}] la funzione è stata interrotta da un segnale prima di
891 di avere eseguito una qualunque lettura o scrittura.
892 \item[\errcode{EAGAIN}] \param{fd} è stato aperto in modalità non bloccante e
893 non ci sono dati in lettura.
894 \item[\errcode{EOPNOTSUPP}] La coda delle richieste è momentaneamente piena.
896 ed inoltre \errval{EISDIR}, \errval{ENOMEM}, \errval{EFAULT} (se non sono
897 stato allocati correttamente i buffer specificati nei campi
898 \func{iov\_base}), più tutti gli ulteriori errori che potrebbero avere le
899 usuali funzioni di lettura e scrittura eseguite su \param{fd}.}
902 Entrambe le funzioni usano una struttura \struct{iovec}, definita in
903 \figref{fig:file_iovec}, che definisce dove i dati devono essere letti o
904 scritti. Il primo campo, \var{iov\_base}, contiene l'indirizzo del buffer ed
905 il secondo, \var{iov\_len}, la dimensione dello stesso.
908 \footnotesize \centering
909 \begin{minipage}[c]{15cm}
910 \includestruct{listati/iovec.h}
913 \caption{La struttura \structd{iovec}, usata dalle operazioni di I/O
915 \label{fig:file_iovec}
918 I buffer da utilizzare sono indicati attraverso l'argomento \param{vector} che
919 è un vettore di strutture \struct{iovec}, la cui lunghezza è specificata da
920 \param{count}. Ciascuna struttura dovrà essere inizializzata per
921 opportunamente per indicare i vari buffer da/verso i quali verrà eseguito il
922 trasferimento dei dati. Essi verranno letti (o scritti) nell'ordine in cui li
923 si sono specificati nel vettore \param{vector}.
926 \subsection{File mappati in memoria}
927 \label{sec:file_memory_map}
929 Una modalità alternativa di I/O, che usa una interfaccia completamente diversa
930 rispetto a quella classica vista in \capref{cha:file_unix_interface}, è il
931 cosiddetto \textit{memory-mapped I/O}, che, attraverso il meccanismo della
932 \textsl{paginazione}\index{paginazione} usato dalla memoria virtuale (vedi
933 \secref{sec:proc_mem_gen}), permette di \textsl{mappare} il contenuto di un
934 file in una sezione dello spazio di indirizzi del processo. Il meccanismo è
935 illustrato in \figref{fig:file_mmap_layout}, una sezione del file viene
936 riportata direttamente nello spazio degli indirizzi del programma. Tutte le
937 operazioni su questa zona verranno riportate indietro sul file dal meccanismo
938 della memoria virtuale che trasferirà il contenuto di quel segmento sul file
939 invece che nella swap, per cui si può parlare tanto di file mappato in
940 memoria, quanto di memoria mappata su file.
944 \includegraphics[width=7.cm]{img/mmap_layout}
945 \caption{Disposizione della memoria di un processo quando si esegue la
946 mappatura in memoria di un file.}
947 \label{fig:file_mmap_layout}
950 Tutto questo comporta una notevole semplificazione delle operazioni di I/O, in
951 quanto non sarà più necessario utilizzare dei buffer intermedi su cui
952 appoggiare i dati da traferire, ma questi potranno essere acceduti
953 direttamente nella sezione di memoria mappata; inoltre questa interfaccia è
954 più efficiente delle usuali funzioni di I/O, in quanto permette di caricare in
955 memoria solo le parti del file che sono effettivamente usate ad un dato
958 Infatti, dato che l'accesso è fatto direttamente attraverso la memoria
959 virtuale, la sezione di memoria mappata su cui si opera sarà a sua volta letta
960 o scritta sul file una pagina alla volta e solo per le parti effettivamente
961 usate, il tutto in maniera completamente trasparente al processo; l'accesso
962 alle pagine non ancora caricate avverrà allo stesso modo con cui vengono
963 caricate in memoria le pagine che sono state salvate sullo swap. Infine in
964 situazioni in cui la memoria è scarsa, le pagine che mappano un file vengono
965 salvate automaticamente, così come le pagine dei programmi vengono scritte
966 sulla swap; questo consente di accedere ai file su dimensioni il cui solo
967 limite è quello dello spazio di indirizzi disponibile, e non della memoria su
968 cui possono esserne lette delle porzioni.
970 L'interfaccia prevede varie funzioni per la gestione del \textit{memory mapped
971 I/O}, la prima di queste è \funcd{mmap}, che serve ad eseguire la mappatura
972 in memoria di un file; il suo prototipo è:
976 \headdecl{sys/mman.h}
978 \funcdecl{void * mmap(void * start, size\_t length, int prot, int flags, int
981 Esegue la mappatura in memoria del file \param{fd}.
983 \bodydesc{La funzione restituisce il puntatore alla zona di memoria mappata
984 in caso di successo, e \const{MAP\_FAILED} (-1) in caso di errore, nel
985 qual caso \var{errno} assumerà uno dei valori:
987 \item[\errcode{EBADF}] Il file descriptor non è valido, e non si è usato
988 \const{MAP\_ANONYMOUS}.
989 \item[\errcode{EACCES}] o \param{fd} non si riferisce ad un file regolare,
990 o si è usato \const{MAP\_PRIVATE} ma \param{fd} non è aperto in lettura,
991 o si è usato \const{MAP\_SHARED} e impostato \const{PROT\_WRITE} ed
992 \param{fd} non è aperto in lettura/scrittura, o si è impostato
993 \const{PROT\_WRITE} ed \param{fd} è in \textit{append-only}.
994 \item[\errcode{EINVAL}] I valori di \param{start}, \param{length} o
995 \param{offset} non sono validi (o troppo grandi o non allineati sulla
996 dimensione delle pagine).
997 \item[\errcode{ETXTBSY}] Si è impostato \const{MAP\_DENYWRITE} ma
998 \param{fd} è aperto in scrittura.
999 \item[\errcode{EAGAIN}] Il file è bloccato, o si è bloccata troppa memoria.
1000 \item[\errcode{ENOMEM}] Non c'è memoria o si è superato il limite sul
1001 numero di mappature possibili.
1002 \item[\errcode{ENODEV}] Il filesystem di \param{fd} non supporta il memory
1008 La funzione richiede di mappare in memoria la sezione del file \param{fd} a
1009 partire da \param{offset} per \param{lenght} byte, preferibilmente
1010 all'indirizzo \param{start}. Il valore di \param{offset} deve essere un
1011 multiplo della dimensione di una pagina di memoria.
1017 \begin{tabular}[c]{|l|l|}
1019 \textbf{Valore} & \textbf{Significato} \\
1022 \const{PROT\_EXEC} & Le pagine possono essere eseguite.\\
1023 \const{PROT\_READ} & Le pagine possono essere lette.\\
1024 \const{PROT\_WRITE} & Le pagine possono essere scritte.\\
1025 \const{PROT\_NONE} & L'accesso alle pagine è vietato.\\
1028 \caption{Valori dell'argomento \param{prot} di \func{mmap}, relativi alla
1029 protezione applicate alle pagine del file mappate in memoria.}
1030 \label{tab:file_mmap_prot}
1034 Il valore dell'argomento \param{prot} indica la protezione\footnote{in Linux
1035 la memoria reale è divisa in pagine: ogni processo vede la sua memoria
1036 attraverso uno o più segmenti lineari di memoria virtuale. Per ciascuno di
1037 questi segmenti il kernel mantiene nella \textit{page table} la mappatura
1038 sulle pagine di memoria reale, ed le modalità di accesso (lettura,
1039 esecuzione, scrittura); una loro violazione causa quella che si chiama una
1040 \textit{segment violation}, e la relativa emissione del segnale
1041 \const{SIGSEGV}.} da applicare al segmento di memoria e deve essere
1042 specificato come maschera binaria ottenuta dall'OR di uno o più dei valori
1043 riportati in \tabref{tab:file_mmap_flag}; il valore specificato deve essere
1044 compatibile con la modalità di accesso con cui si è aperto il file.
1046 L'argomento \param{flags} specifica infine qual'è il tipo di oggetto mappato,
1047 le opzioni relative alle modalità con cui è effettuata la mappatura e alle
1048 modalità con cui le modifiche alla memoria mappata vengono condivise o
1049 mantenute private al processo che le ha effettuate. Deve essere specificato
1050 come maschera binaria ottenuta dall'OR di uno o più dei valori riportati in
1051 \tabref{tab:file_mmap_flag}.
1056 \begin{tabular}[c]{|l|p{10cm}|}
1058 \textbf{Valore} & \textbf{Significato} \\
1061 \const{MAP\_FIXED} & Non permette di restituire un indirizzo diverso
1062 da \param{start}, se questo non può essere usato
1063 \func{mmap} fallisce. Se si imposta questo flag il
1064 valore di \param{start} deve essere allineato
1065 alle dimensioni di una pagina. \\
1066 \const{MAP\_SHARED} & I cambiamenti sulla memoria mappata vengono
1067 riportati sul file e saranno immediatamente
1068 visibili agli altri processi che mappano lo stesso
1069 file.\footnotemark Il file su disco però non sarà
1070 aggiornato fino alla chiamata di \func{msync} o
1071 \func{unmap}), e solo allora le modifiche saranno
1072 visibili per l'I/O convenzionale. Incompatibile
1073 con \const{MAP\_PRIVATE}. \\
1074 \const{MAP\_PRIVATE} & I cambiamenti sulla memoria mappata non vengono
1075 riportati sul file. Ne viene fatta una copia
1076 privata cui solo il processo chiamante ha
1077 accesso. Le modifiche sono mantenute attraverso
1079 \textit{copy on write}\index{copy on write} e
1080 salvate su swap in caso di necessità. Non è
1081 specificato se i cambiamenti sul file originale
1082 vengano riportati sulla regione
1083 mappata. Incompatibile con \const{MAP\_SHARED}. \\
1084 \const{MAP\_DENYWRITE} & In Linux viene ignorato per evitare
1085 \textit{DoS}\index{DoS} (veniva usato per
1086 segnalare che tentativi di scrittura sul file
1087 dovevano fallire con \errcode{ETXTBSY}).\\
1088 \const{MAP\_EXECUTABLE}& Ignorato. \\
1089 \const{MAP\_NORESERVE} & Si usa con \const{MAP\_PRIVATE}. Non riserva
1090 delle pagine di swap ad uso del meccanismo di
1091 \textit{copy on write}\index{copy on write}
1093 modifiche fatte alla regione mappata, in
1094 questo caso dopo una scrittura, se non c'è più
1095 memoria disponibile, si ha l'emissione di
1096 un \const{SIGSEGV}. \\
1097 \const{MAP\_LOCKED} & Se impostato impedisce lo swapping delle pagine
1099 \const{MAP\_GROWSDOWN} & Usato per gli stack. Indica
1100 che la mappatura deve essere effettuata con gli
1101 indirizzi crescenti verso il basso.\\
1102 \const{MAP\_ANONYMOUS} & La mappatura non è associata a nessun file. Gli
1103 argomenti \param{fd} e \param{offset} sono
1104 ignorati.\footnotemark\\
1105 \const{MAP\_ANON} & Sinonimo di \const{MAP\_ANONYMOUS}, deprecato.\\
1106 \const{MAP\_FILE} & Valore di compatibilità, deprecato.\\
1109 \caption{Valori possibili dell'argomento \param{flag} di \func{mmap}.}
1110 \label{tab:file_mmap_flag}
1113 \footnotetext{Dato che tutti faranno riferimento alle stesse pagine di
1115 \footnotetext{L'uso di questo flag con \const{MAP\_SHARED} è
1116 stato implementato in Linux a partire dai kernel della serie 2.4.x.}
1118 Gli effetti dell'accesso ad una zona di memoria mappata su file possono essere
1119 piuttosto complessi, essi si possono comprendere solo tenendo presente che
1120 tutto quanto è comunque basato sul basato sul meccanismo della memoria
1121 virtuale. Questo comporta allora una serie di conseguenze. La più ovvia è che
1122 se si cerca di scrivere su una zona mappata in sola lettura si avrà
1123 l'emissione di un segnale di violazione di accesso (\const{SIGSEGV}), dato che
1124 i permessi sul segmento di memoria relativo non consentono questo tipo di
1127 È invece assai diversa la questione relativa agli accessi al di fuori della
1128 regione di cui si è richiesta la mappatura. A prima vista infatti si potrebbe
1129 ritenere che anch'essi debbano generare un segnale di violazione di accesso;
1130 questo però non tiene conto del fatto che, essendo basata sul meccanismo della
1131 paginazione\index{paginazione}, la mappatura in memoria non può che essere
1132 eseguita su un segmento di dimensioni rigorosamente multiple di quelle di una
1133 pagina, ed in generale queste potranno non corrispondere alle dimensioni
1134 effettive del file o della sezione che si vuole mappare. Il caso più comune è
1135 quello illustrato in \figref{fig:file_mmap_boundary}, in cui la sezione di
1136 file non rientra nei confini di una pagina: in tal caso verrà il file sarà
1137 mappato su un segmento di memoria che si estende fino al bordo della pagina
1142 \includegraphics[width=10cm]{img/mmap_boundary}
1143 \caption{Schema della mappatura in memoria di una sezione di file di
1144 dimensioni non corrispondenti al bordo di una pagina.}
1145 \label{fig:file_mmap_boundary}
1149 In questo caso è possibile accedere a quella zona di memoria che eccede le
1150 dimensioni specificate da \param{lenght}, senza ottenere un \const{SIGSEGV}
1151 poiché essa è presente nello spazio di indirizzi del processo, anche se non è
1152 mappata sul file. Il comportamento del sistema è quello di restituire un
1153 valore nullo per quanto viene letto, e di non riportare su file quanto viene
1156 Un caso più complesso è quello che si viene a creare quando le dimensioni del
1157 file mappato sono più corte delle dimensioni della mappatura, oppure quando il
1158 file è stato troncato, dopo che è stato mappato, ad una dimensione inferiore a
1159 quella della mappatura in memoria.
1163 \includegraphics[width=10cm]{img/mmap_exceed}
1164 \caption{Schema della mappatura in memoria di file di dimensioni inferiori
1165 alla lunghezza richiesta.}
1166 \label{fig:file_mmap_exceed}
1169 In questa situazione, per la sezione di pagina parzialmente coperta dal
1170 contenuto del file, vale esattamente quanto visto in precedenza; invece per la
1171 parte che eccede, fino alle dimensioni date da \param{length}, l'accesso non
1172 sarà più possibile, ma il segnale emesso non sarà \const{SIGSEGV}, ma
1173 \const{SIGBUS}, come illustrato in \figref{fig:file_mmap_exceed}.
1175 Non tutti i file possono venire mappati in memoria, dato che, come illustrato
1176 in \figref{fig:file_mmap_layout}, la mappatura introduce una corrispondenza
1177 biunivoca fra una sezione di un file ed una sezione di memoria. Questo
1178 comporta che ad esempio non è possibile mappare in memoria file descriptor
1179 relativi a pipe, socket e fifo, per i quali non ha senso parlare di
1180 \textsl{sezione}. Lo stesso vale anche per alcuni file di dispositivo, che non
1181 dispongono della relativa operazione \func{mmap} (si ricordi quanto esposto in
1182 \secref{sec:file_vfs_work}). Si tenga presente però che esistono anche casi di
1183 dispositivi (un esempio è l'interfaccia al ponte PCI-VME del chip Universe)
1184 che sono utilizzabili solo con questa interfaccia.
1186 Dato che passando attraverso una \func{fork} lo spazio di indirizzi viene
1187 copiato integralmente, i file mappati in memoria verranno ereditati in maniera
1188 trasparente dal processo figlio, mantenendo gli stessi attributi avuti nel
1189 padre; così se si è usato \const{MAP\_SHARED} padre e figlio accederanno allo
1190 stesso file in maniera condivisa, mentre se si è usato \const{MAP\_PRIVATE}
1191 ciascuno di essi manterrà una sua versione privata indipendente. Non c'è
1192 invece nessun passaggio attraverso una \func{exec}, dato che quest'ultima
1193 sostituisce tutto lo spazio degli indirizzi di un processo con quello di un
1196 Quando si effettua la mappatura di un file vengono pure modificati i tempi ad
1197 esso associati (di cui si è trattato in \secref{sec:file_file_times}). Il
1198 valore di \var{st\_atime} può venir cambiato in qualunque istante a partire
1199 dal momento in cui la mappatura è stata effettuata: il primo riferimento ad
1200 una pagina mappata su un file aggiorna questo tempo. I valori di
1201 \var{st\_ctime} e \var{st\_mtime} possono venir cambiati solo quando si è
1202 consentita la scrittura sul file (cioè per un file mappato con
1203 \const{PROT\_WRITE} e \const{MAP\_SHARED}) e sono aggiornati dopo la scrittura
1204 o in corrispondenza di una eventuale \func{msync}.
1206 Dato per i file mappati in memoria le operazioni di I/O sono gestite
1207 direttamente dalla memoria virtuale, occorre essere consapevoli delle
1208 interazioni che possono esserci con operazioni effettuate con l'interfaccia
1209 standard dei file di \capref{cha:file_unix_interface}. Il problema è che una
1210 volta che si è mappato un file, le operazioni di lettura e scrittura saranno
1211 eseguite sulla memoria, e riportate su disco in maniera autonoma dal sistema
1212 della memoria virtuale.
1214 Pertanto se si modifica un file con l'interfaccia standard queste modifiche
1215 potranno essere visibili o meno a seconda del momento in cui la memoria
1216 virtuale trasporterà dal disco in memoria quella sezione del file, perciò è
1217 del tutto imprevedibile il risultato della modifica di un file nei confronti
1218 del contenuto della memoria su cui è mappato.
1220 Per questo, è sempre sconsigliabile eseguire scritture su file attraverso
1221 l'interfaccia standard, quando lo si è mappato in memoria, è invece possibile
1222 usare l'interfaccia standard per leggere un file mappato in memoria, purché si
1223 abbia una certa cura; infatti l'interfaccia dell'I/O mappato in memoria mette
1224 a disposizione la funzione \funcd{msync} per sincronizzare il contenuto della
1225 memoria mappata con il file su disco; il suo prototipo è:
1228 \headdecl{sys/mman.h}
1230 \funcdecl{int msync(const void *start, size\_t length, int flags)}
1232 Sincronizza i contenuti di una sezione di un file mappato in memoria.
1234 \bodydesc{La funzione restituisce 0 in caso di successo, e -1 in caso di
1235 errore nel qual caso \var{errno} assumerà uno dei valori:
1237 \item[\errcode{EINVAL}] O \param{start} non è multiplo di \const{PAGESIZE},
1238 o si è specificato un valore non valido per \param{flags}.
1239 \item[\errcode{EFAULT}] L'intervallo specificato non ricade in una zona
1240 precedentemente mappata.
1245 La funzione esegue la sincronizzazione di quanto scritto nella sezione di
1246 memoria indicata da \param{start} e \param{offset}, scrivendo le modifiche sul
1247 file (qualora questo non sia già stato fatto). Provvede anche ad aggiornare i
1248 relativi tempi di modifica. In questo modo si è sicuri che dopo l'esecuzione
1249 di \func{msync} le funzioni dell'interfaccia standard troveranno un contenuto
1250 del file aggiornato.
1255 \begin{tabular}[c]{|l|l|}
1257 \textbf{Valore} & \textbf{Significato} \\
1260 \const{MS\_ASYNC} & Richiede la sincronizzazione.\\
1261 \const{MS\_SYNC} & Attende che la sincronizzazione si eseguita.\\
1262 \const{MS\_INVALIDATE}& Richiede che le altre mappature dello stesso file
1266 \caption{Valori dell'argomento \param{flag} di \func{msync}.}
1267 \label{tab:file_mmap_rsync}
1270 L'argomento \param{flag} è specificato come maschera binaria composta da un OR
1271 dei valori riportati in \tabref{tab:file_mmap_rsync}, di questi però
1272 \const{MS\_ASYNC} e \const{MS\_SYNC} sono incompatibili; con il primo valore
1273 infatti la funzione si limita ad inoltrare la richiesta di sincronizzazione al
1274 meccanismo della memoria virtuale, ritornando subito, mentre con il secondo
1275 attende che la sincronizzazione sia stata effettivamente eseguita. Il terzo
1276 flag fa invalidare le pagine di cui si richiede la sincronizzazione per tutte
1277 le mappature dello stesso file, così che esse possano essere immediatamente
1278 aggiornate ai nuovi valori.
1280 Una volta che si sono completate le operazioni di I/O si può eliminare la
1281 mappatura della memoria usando la funzione \funcd{munmap}, il suo prototipo è:
1284 \headdecl{sys/mman.h}
1286 \funcdecl{int munmap(void *start, size\_t length)}
1288 Rilascia la mappatura sulla sezione di memoria specificata.
1290 \bodydesc{La funzione restituisce 0 in caso di successo, e -1 in caso di
1291 errore nel qual caso \var{errno} assumerà uno dei valori:
1293 \item[\errcode{EINVAL}] L'intervallo specificato non ricade in una zona
1294 precedentemente mappata.
1299 La funzione cancella la mappatura per l'intervallo specificato attraverso
1300 \param{start} e \param{length}, ed ogni successivo accesso a tale regione
1301 causerà un errore di accesso in memoria. L'argomento \param{start} deve essere
1302 allineato alle dimensioni di una pagina di memoria, e la mappatura di tutte le
1303 pagine contenute (anche parzialmente) nell'intervallo indicato, verrà rimossa.
1304 Indicare un intervallo che non contiene pagine mappate non è un errore.
1306 Alla conclusione del processo, ogni pagina mappata verrà automaticamente
1307 rilasciata, mentre la chiusura del file descriptor usato per effettuare la
1308 mappatura in memoria non ha alcun effetto sulla stessa.
1311 \section{Il file locking}
1312 \label{sec:file_locking}
1314 \index{file!locking|(}
1315 In \secref{sec:file_sharing} abbiamo preso in esame le modalità in cui un
1316 sistema unix-like gestisce la condivisione dei file da parte di processi
1317 diversi. In quell'occasione si è visto come, con l'eccezione dei file aperti
1318 in \textit{append mode}, quando più processi scrivono contemporaneamente sullo
1319 stesso file non è possibile determinare la sequenza in cui essi opereranno.
1321 Questo causa la possibilità di race condition\index{race condition}; in
1322 generale le situazioni più comuni sono due: l'interazione fra un processo che
1323 scrive e altri che leggono, in cui questi ultimi possono leggere informazioni
1324 scritte solo in maniera parziale o incompleta; o quella in cui diversi
1325 processi scrivono, mescolando in maniera imprevedibile il loro output sul
1328 In tutti questi casi il \textit{file locking} è la tecnica che permette di
1329 evitare le race condition\index{race condition}, attraverso una serie di
1330 funzioni che permettono di bloccare l'accesso al file da parte di altri
1331 processi, così da evitare le sovrapposizioni, e garantire la atomicità delle
1332 operazioni di scrittura.
1336 \subsection{L'\textit{advisory locking}}
1337 \label{sec:file_record_locking}
1339 La prima modalità di \textit{file locking} che è stata implementata nei
1340 sistemi unix-like è quella che viene usualmente chiamata \textit{advisory
1341 locking},\footnote{Stevens in \cite{APUE} fa riferimento a questo argomento
1342 come al \textit{record locking}, dizione utilizzata anche dal manuale delle
1343 \acr{glibc}; nelle pagine di manuale si parla di \textit{discretionary file
1344 lock} per \func{fcntl} e di \textit{advisory locking} per \func{flock},
1345 mentre questo nome viene usato da Stevens per riferirsi al \textit{file
1346 locking} POSIX. Dato che la dizione \textit{record locking} è quantomeno
1347 ambigua, in quanto in un sistema Unix non esiste niente che possa fare
1348 riferimento al concetto di \textit{record}, alla fine si è scelto di
1349 mantenere il nome \textit{advisory locking}.} in quanto sono i singoli
1350 processi, e non il sistema, che si incaricano di asserire e verificare se
1351 esistono delle condizioni di blocco per l'accesso ai file. Questo significa
1352 che le funzioni \func{read} o \func{write} vengono eseguite comunque e non
1353 risentono affatto della presenza di un eventuale \textit{lock}; pertanto è
1354 sempre compito dei vari processi che intendono usare il file locking,
1355 controllare esplicitamente lo stato dei file condivisi prima di accedervi,
1356 utilizzando le relative funzioni.
1358 In generale si distinguono due tipologie di \textit{file lock}:\footnote{di
1359 seguito ci riferiremo sempre ai blocchi di accesso ai file con la
1360 nomenclatura inglese di \textit{file lock}, o più brevemente con
1361 \textit{lock}, per evitare confusioni linguistiche con il blocco di un
1362 processo (cioè la condizione in cui il processo viene posto in stato di
1363 \textit{sleep}).} la prima è il cosiddetto \textit{shared lock}, detto anche
1364 \textit{read lock} in quanto serve a bloccare l'accesso in scrittura su un
1365 file affinché il suo contenuto non venga modificato mentre lo si legge. Si
1366 parla appunto di \textsl{blocco condiviso} in quanto più processi possono
1367 richiedere contemporaneamente uno \textit{shared lock} su un file per
1368 proteggere il loro accesso in lettura.
1370 La seconda tipologia è il cosiddetto \textit{exclusive lock}, detto anche
1371 \textit{write lock} in quanto serve a bloccare l'accesso su un file (sia in
1372 lettura che in scrittura) da parte di altri processi mentre lo si sta
1373 scrivendo. Si parla di \textsl{blocco esclusivo} appunto perché un solo
1374 processo alla volta può richiedere un \textit{exclusive lock} su un file per
1375 proteggere il suo accesso in scrittura.
1380 \begin{tabular}[c]{|l|c|c|c|}
1382 \textbf{Richiesta} & \multicolumn{3}{|c|}{\textbf{Stato del file}}\\
1384 &Nessun lock&\textit{Read lock}&\textit{Write lock}\\
1387 \textit{Read lock} & SI & SI & NO \\
1388 \textit{Write lock}& SI & NO & NO \\
1391 \caption{Tipologie di file locking.}
1392 \label{tab:file_file_lock}
1395 In Linux sono disponibili due interfacce per utilizzare l'\textit{advisory
1396 locking}, la prima è quella derivata da BSD, che è basata sulla funzione
1397 \func{flock}, la seconda è quella standardizzata da POSIX.1 (derivata da
1398 System V), che è basata sulla funzione \func{fcntl}. I \textit{file lock}
1399 sono implementati in maniera completamente indipendente nelle due interfacce,
1400 che pertanto possono coesistere senza interferenze.
1402 Entrambe le interfacce prevedono la stessa procedura di funzionamento: si
1403 inizia sempre con il richiedere l'opportuno \textit{file lock} (un
1404 \textit{exclusive lock} per una scrittura, uno \textit{shared lock} per una
1405 lettura) prima di eseguire l'accesso ad un file. Se il lock viene acquisito
1406 il processo prosegue l'esecuzione, altrimenti (a meno di non aver richiesto un
1407 comportamento non bloccante) viene posto in stato di sleep. Una volta finite
1408 le operazioni sul file si deve provvedere a rimuovere il lock. La situazione
1409 delle varie possibilità è riassunta in \tabref{tab:file_file_lock}, dove si
1410 sono riportati, per le varie tipologie di lock presenti su un file, il
1411 risultato che si ha in corrispondenza alle due tipologie di \textit{file lock}
1412 menzionate, nel successo della richiesta.
1414 Si tenga presente infine che il controllo di accesso e la gestione dei
1415 permessi viene effettuata quando si apre un file, l'unico controllo residuo
1416 che si può avere riguardo il \textit{file locking} è che il tipo di lock che
1417 si vuole ottenere su un file deve essere compatibile con le modalità di
1418 apertura dello stesso (in lettura per un read lock e in scrittura per un write
1422 %% la condizione per acquisire uno \textit{shared lock} è che il file non abbia
1423 %% già un \textit{exclusive lock} attivo, mentre per acquisire un
1424 %% \textit{exclusive lock} non deve essere presente nessun tipo di blocco.
1427 \subsection{La funzione \func{flock}}
1428 \label{sec:file_flock}
1430 La prima interfaccia per il file locking, quella derivata da BSD, permette di
1431 eseguire un blocco solo su un intero file; la funzione usata per richiedere e
1432 rimuovere un \textit{file lock} è \funcd{flock}, ed il suo prototipo è:
1433 \begin{prototype}{sys/file.h}{int flock(int fd, int operation)}
1435 Applica o rimuove un \textit{file lock} sul file \param{fd}.
1437 \bodydesc{La funzione restituisce 0 in caso di successo, e -1 in caso di
1438 errore, nel qual caso \var{errno} assumerà uno dei valori:
1440 \item[\errcode{EWOULDBLOCK}] Il file ha già un blocco attivo, e si è
1441 specificato \const{LOCK\_NB}.
1446 La funzione può essere usata per acquisire o rilasciare un \textit{file lock}
1447 a seconda di quanto specificato tramite il valore dell'argomento
1448 \param{operation}, questo viene interpretato come maschera binaria, e deve
1449 essere passato utilizzando le costanti riportate in
1450 \tabref{tab:file_flock_operation}.
1455 \begin{tabular}[c]{|l|l|}
1457 \textbf{Valore} & \textbf{Significato} \\
1460 \const{LOCK\_SH} & Asserisce uno \textit{shared lock} sul file.\\
1461 \const{LOCK\_EX} & Asserisce un \textit{esclusive lock} sul file.\\
1462 \const{LOCK\_UN} & Rilascia il \textit{file lock}.\\
1463 \const{LOCK\_NB} & Impedisce che la funzione si blocchi nella
1464 richiesta di un \textit{file lock}.\\
1467 \caption{Valori dell'argomento \param{operation} di \func{flock}.}
1468 \label{tab:file_flock_operation}
1471 I primi due valori, \const{LOCK\_SH} e \const{LOCK\_EX} permettono di
1472 richiedere un \textit{file lock}, ed ovviamente devono essere usati in maniera
1473 alternativa. Se si specifica anche \const{LOCK\_NB} la funzione non si
1474 bloccherà qualora il lock non possa essere acquisito, ma ritornerà subito con
1475 un errore di \errcode{EWOULDBLOCK}. Per rilasciare un lock si dovrà invece
1476 usare \const{LOCK\_UN}.
1478 La semantica del file locking di BSD è diversa da quella del file locking
1479 POSIX, in particolare per quanto riguarda il comportamento dei lock nei
1480 confronti delle due funzioni \func{dup} e \func{fork}. Per capire queste
1481 differenze occorre descrivere con maggiore dettaglio come viene realizzato il
1482 file locking nel kernel in entrambe le interfacce.
1484 In \figref{fig:file_flock_struct} si è riportato uno schema essenziale
1485 dell'implementazione del file locking in stile BSD in Linux; il punto
1486 fondamentale da capire è che un lock, qualunque sia l'interfaccia che si usa,
1487 anche se richiesto attraverso un file descriptor, agisce sempre su un file;
1488 perciò le informazioni relative agli eventuali \textit{file lock} sono
1489 mantenute a livello di inode\index{inode},\footnote{in particolare, come
1490 accennato in \figref{fig:file_flock_struct}, i \textit{file lock} sono
1491 mantenuti un una \textit{linked list}\index{linked list} di strutture
1492 \struct{file\_lock}. La lista è referenziata dall'indirizzo di partenza
1493 mantenuto dal campo \var{i\_flock} della struttura \struct{inode} (per le
1494 definizioni esatte si faccia riferimento al file \file{fs.h} nei sorgenti
1495 del kernel). Un bit del campo \var{fl\_flags} di specifica se si tratta di
1496 un lock in semantica BSD (\const{FL\_FLOCK}) o POSIX (\const{FL\_POSIX}).}
1497 dato che questo è l'unico riferimento in comune che possono avere due processi
1498 diversi che aprono lo stesso file.
1502 \includegraphics[width=14cm]{img/file_flock}
1503 \caption{Schema dell'architettura del file locking, nel caso particolare
1504 del suo utilizzo da parte dalla funzione \func{flock}.}
1505 \label{fig:file_flock_struct}
1508 La richiesta di un file lock prevede una scansione della lista per determinare
1509 se l'acquisizione è possibile, ed in caso positivo l'aggiunta di un nuovo
1510 elemento.\footnote{cioè una nuova struttura \struct{file\_lock}.} Nel caso
1511 dei lock creati con \func{flock} la semantica della funzione prevede che sia
1512 \func{dup} che \func{fork} non creino ulteriori istanze di un file lock quanto
1513 piuttosto degli ulteriori riferimenti allo stesso. Questo viene realizzato dal
1514 kernel secondo lo schema di \figref{fig:file_flock_struct}, associando ad ogni
1515 nuovo \textit{file lock} un puntatore\footnote{il puntatore è mantenuto nel
1516 campo \var{fl\_file} di \struct{file\_lock}, e viene utilizzato solo per i
1517 lock creati con la semantica BSD.} alla voce nella \textit{file table} da
1518 cui si è richiesto il lock, che così ne identifica il titolare.
1520 Questa struttura prevede che, quando si richiede la rimozione di un file lock,
1521 il kernel acconsenta solo se la richiesta proviene da un file descriptor che
1522 fa riferimento ad una voce nella file table corrispondente a quella registrata
1523 nel lock. Allora se ricordiamo quanto visto in \secref{sec:file_dup} e
1524 \secref{sec:file_sharing}, e cioè che i file descriptor duplicati e quelli
1525 ereditati in un processo figlio puntano sempre alla stessa voce nella file
1526 table, si può capire immediatamente quali sono le conseguenze nei confronti
1527 delle funzioni \func{dup} e \func{fork}.
1529 Sarà così possibile rimuovere un file lock attraverso uno qualunque dei file
1530 descriptor che fanno riferimento alla stessa voce nella file table, anche se
1531 questo è diverso da quello con cui lo si è creato,\footnote{attenzione, questo
1532 non vale se il file descriptor fa riferimento allo stesso file, ma
1533 attraverso una voce diversa della file table, come accade tutte le volte che
1534 si apre più volte lo stesso file.} o se si esegue la rimozione in un
1535 processo figlio; inoltre una volta tolto un file lock, la rimozione avrà
1536 effetto su tutti i file descriptor che condividono la stessa voce nella file
1537 table, e quindi, nel caso di file descriptor ereditati attraverso una
1538 \func{fork}, anche su processi diversi.
1540 Infine, per evitare che la terminazione imprevista di un processo lasci attivi
1541 dei file lock, quando un file viene chiuso il kernel provveda anche a
1542 rimuovere tutti i lock ad esso associati. Anche in questo caso occorre tenere
1543 presente cosa succede quando si hanno file descriptor duplicati; in tal caso
1544 infatti il file non verrà effettivamente chiuso (ed il lock rimosso) fintanto
1545 che non viene rilasciata la relativa voce nella file table; e questo avverrà
1546 solo quando tutti i file descriptor che fanno riferimento alla stessa voce
1547 sono stati chiusi. Quindi, nel caso ci siano duplicati o processi figli che
1548 mantengono ancora aperto un file descriptor, il lock non viene rilasciato.
1550 Si tenga presente infine che \func{flock} non è in grado di funzionare per i
1551 file mantenuti su NFS, in questo caso, se si ha la necessità di eseguire il
1552 \textit{file locking}, occorre usare l'interfaccia basata su \func{fcntl} che
1553 può funzionare anche attraverso NFS, a condizione che sia il client che il
1554 server supportino questa funzionalità.
1557 \subsection{Il file locking POSIX}
1558 \label{sec:file_posix_lock}
1560 La seconda interfaccia per l'\textit{advisory locking} disponibile in Linux è
1561 quella standardizzata da POSIX, basata sulla funzione \func{fcntl}. Abbiamo
1562 già trattato questa funzione nelle sue molteplici possibilità di utilizzo in
1563 \secref{sec:file_fcntl}. Quando la si impiega per il \textit{file locking}
1564 essa viene usata solo secondo il prototipo:
1565 \begin{prototype}{fcntl.h}{int fcntl(int fd, int cmd, struct flock *lock)}
1567 Applica o rimuove un \textit{file lock} sul file \param{fd}.
1569 \bodydesc{La funzione restituisce 0 in caso di successo, e -1 in caso di
1570 errore, nel qual caso \var{errno} assumerà uno dei valori:
1572 \item[\errcode{EACCES}] L'operazione è proibita per la presenza di
1573 \textit{file lock} da parte di altri processi.
1574 \item[\errcode{ENOLCK}] Il sistema non ha le risorse per il locking: ci
1575 sono troppi segmenti di lock aperti, si è esaurita la tabella dei lock,
1576 o il protocollo per il locking remoto è fallito.
1577 \item[\errcode{EDEADLK}] Si è richiesto un lock su una regione bloccata da
1578 un altro processo che è a sua volta in attesa dello sblocco di un lock
1579 mantenuto dal processo corrente; si avrebbe pertanto un
1580 \textit{deadlock}\index{deadlock}. Non è garantito che il sistema
1581 riconosca sempre questa situazione.
1582 \item[\errcode{EINTR}] La funzione è stata interrotta da un segnale prima
1583 di poter acquisire un lock.
1585 ed inoltre \errval{EBADF}, \errval{EFAULT}.
1589 Al contrario di quanto avviene con l'interfaccia basata su \func{flock} con
1590 \func{fcntl} è possibile bloccare anche delle singole sezioni di un file, fino
1591 al singolo byte. Inoltre la funzione permette di ottenere alcune informazioni
1592 relative agli eventuali lock preesistenti. Per poter fare tutto questo la
1593 funzione utilizza come terzo argomento una apposita struttura \struct{flock}
1594 (la cui definizione è riportata in \figref{fig:struct_flock}) nella quale
1595 inserire tutti i dati relativi ad un determinato lock. Si tenga presente poi
1596 che un lock fa sempre riferimento ad una regione, per cui si potrà avere un
1597 conflitto anche se c'è soltanto una sovrapposizione parziale con un'altra
1600 \begin{figure}[!bht]
1601 \footnotesize \centering
1602 \begin{minipage}[c]{15cm}
1603 \includestruct{listati/flock.h}
1606 \caption{La struttura \structd{flock}, usata da \func{fcntl} per il file
1608 \label{fig:struct_flock}
1612 I primi tre campi della struttura, \var{l\_whence}, \var{l\_start} e
1613 \var{l\_len}, servono a specificare la sezione del file a cui fa riferimento
1614 il lock: \var{l\_start} specifica il byte di partenza, \var{l\_len} la
1615 lunghezza della sezione e infine \var{l\_whence} imposta il riferimento da cui
1616 contare \var{l\_start}. Il valore di \var{l\_whence} segue la stessa semantica
1617 dell'omonimo argomento di \func{lseek}, coi tre possibili valori
1618 \const{SEEK\_SET}, \const{SEEK\_CUR} e \const{SEEK\_END}, (si vedano le
1619 relative descrizioni in \secref{sec:file_lseek}).
1621 Si tenga presente che un lock può essere richiesto anche per una regione al di
1622 là della corrente fine del file, così che una eventuale estensione dello
1623 stesso resti coperta dal blocco. Inoltre se si specifica un valore nullo per
1624 \var{l\_len} il blocco si considera esteso fino alla dimensione massima del
1625 file; in questo modo è possibile bloccare una qualunque regione a partire da
1626 un certo punto fino alla fine del file, coprendo automaticamente quanto
1627 eventualmente aggiunto in coda allo stesso.
1632 \begin{tabular}[c]{|l|l|}
1634 \textbf{Valore} & \textbf{Significato} \\
1637 \const{F\_RDLCK} & Richiede un blocco condiviso (\textit{read lock}).\\
1638 \const{F\_WRLCK} & Richiede un blocco esclusivo (\textit{write lock}).\\
1639 \const{F\_UNLCK} & Richiede l'eliminazione di un file lock.\\
1642 \caption{Valori possibili per il campo \var{l\_type} di \struct{flock}.}
1643 \label{tab:file_flock_type}
1646 Il tipo di file lock richiesto viene specificato dal campo \var{l\_type}, esso
1647 può assumere i tre valori definiti dalle costanti riportate in
1648 \tabref{tab:file_flock_type}, che permettono di richiedere rispettivamente uno
1649 \textit{shared lock}, un \textit{esclusive lock}, e la rimozione di un lock
1650 precedentemente acquisito. Infine il campo \var{l\_pid} viene usato solo in
1651 caso di lettura, quando si chiama \func{fcntl} con \const{F\_GETLK}, e riporta
1652 il \acr{pid} del processo che detiene il lock.
1654 Oltre a quanto richiesto tramite i campi di \struct{flock}, l'operazione
1655 effettivamente svolta dalla funzione è stabilita dal valore dall'argomento
1656 \param{cmd} che, come già riportato in \secref{sec:file_fcntl}, specifica
1657 l'azione da compiere; i valori relativi al file locking sono tre:
1658 \begin{basedescript}{\desclabelwidth{2.0cm}}
1659 \item[\const{F\_GETLK}] verifica se il file lock specificato dalla struttura
1660 puntata da \param{lock} può essere acquisito: in caso negativo sovrascrive
1661 la struttura \param{flock} con i valori relativi al lock già esistente che
1662 ne blocca l'acquisizione, altrimenti si limita a impostarne il campo
1663 \var{l\_type} con il valore \const{F\_UNLCK}.
1664 \item[\const{F\_SETLK}] se il campo \var{l\_type} della struttura puntata da
1665 \param{lock} è \const{F\_RDLCK} o \const{F\_WRLCK} richiede il
1666 corrispondente file lock, se è \const{F\_UNLCK} lo rilascia. Nel caso la
1667 richiesta non possa essere soddisfatta a causa di un lock preesistente la
1668 funzione ritorna immediatamente con un errore di \errcode{EACCES} o di
1670 \item[\const{F\_SETLKW}] è identica a \const{F\_SETLK}, ma se la richiesta di
1671 non può essere soddisfatta per la presenza di un altro lock, mette il
1672 processo in stato di attesa fintanto che il lock precedente non viene
1673 rilasciato. Se l'attesa viene interrotta da un segnale la funzione ritorna
1674 con un errore di \errcode{EINTR}.
1677 Si noti che per quanto detto il comando \const{F\_GETLK} non serve a rilevare
1678 una presenza generica di lock su un file, perché se ne esistono altri
1679 compatibili con quello richiesto, la funzione ritorna comunque impostando
1680 \var{l\_type} a \const{F\_UNLCK}. Inoltre a seconda del valore di
1681 \var{l\_type} si potrà controllare o l'esistenza di un qualunque tipo di lock
1682 (se è \const{F\_WRLCK}) o di write lock (se è \const{F\_RDLCK}). Si consideri
1683 poi che può esserci più di un lock che impedisce l'acquisizione di quello
1684 richiesto (basta che le regioni si sovrappongano), ma la funzione ne riporterà
1685 sempre soltanto uno, impostando \var{l\_whence} a \const{SEEK\_SET} ed i
1686 valori \var{l\_start} e \var{l\_len} per indicare quale è la regione bloccata.
1688 Infine si tenga presente che effettuare un controllo con il comando
1689 \const{F\_GETLK} e poi tentare l'acquisizione con \const{F\_SETLK} non è una
1690 operazione atomica (un altro processo potrebbe acquisire un lock fra le due
1691 chiamate) per cui si deve sempre verificare il codice di ritorno di
1692 \func{fcntl}\footnote{controllare il codice di ritorno delle funzioni invocate
1693 è comunque una buona norma di programmazione, che permette di evitare un
1694 sacco di errori difficili da tracciare proprio perché non vengono rilevati.}
1695 quando la si invoca con \const{F\_SETLK}, per controllare che il lock sia
1696 stato effettivamente acquisito.
1699 \centering \includegraphics[width=9cm]{img/file_lock_dead}
1700 \caption{Schema di una situazione di \textit{deadlock}\index{deadlock}.}
1701 \label{fig:file_flock_dead}
1704 Non operando a livello di interi file, il file locking POSIX introduce
1705 un'ulteriore complicazione; consideriamo la situazione illustrata in
1706 \figref{fig:file_flock_dead}, in cui il processo A blocca la regione 1 e il
1707 processo B la regione 2. Supponiamo che successivamente il processo A richieda
1708 un lock sulla regione 2 che non può essere acquisito per il preesistente lock
1709 del processo 2; il processo 1 si bloccherà fintanto che il processo 2 non
1710 rilasci il blocco. Ma cosa accade se il processo 2 nel frattempo tenta a sua
1711 volta di ottenere un lock sulla regione A? Questa è una tipica situazione che
1712 porta ad un \textit{deadlock}\index{deadlock}, dato che a quel punto anche il
1713 processo 2 si bloccherebbe, e niente potrebbe sbloccare l'altro processo. Per
1714 questo motivo il kernel si incarica di rilevare situazioni di questo tipo, ed
1715 impedirle restituendo un errore di \errcode{EDEADLK} alla funzione che cerca
1716 di acquisire un lock che porterebbe ad un \textit{deadlock}.
1718 \begin{figure}[!bht]
1719 \centering \includegraphics[width=13cm]{img/file_posix_lock}
1720 \caption{Schema dell'architettura del file locking, nel caso particolare
1721 del suo utilizzo secondo l'interfaccia standard POSIX.}
1722 \label{fig:file_posix_lock}
1726 Per capire meglio il funzionamento del file locking in semantica POSIX (che
1727 differisce alquanto rispetto da quello di BSD, visto \secref{sec:file_flock})
1728 esaminiamo più in dettaglio come viene gestito dal kernel. Lo schema delle
1729 strutture utilizzate è riportato in \figref{fig:file_posix_lock}; come si vede
1730 esso è molto simile all'analogo di \figref{fig:file_flock_struct}:\footnote{in
1731 questo caso nella figura si sono evidenziati solo i campi di
1732 \struct{file\_lock} significativi per la semantica POSIX, in particolare
1733 adesso ciascuna struttura contiene, oltre al \acr{pid} del processo in
1734 \var{fl\_pid}, la sezione di file che viene bloccata grazie ai campi
1735 \var{fl\_start} e \var{fl\_end}. La struttura è comunque la stessa, solo
1736 che in questo caso nel campo \var{fl\_flags} è impostato il bit
1737 \const{FL\_POSIX} ed il campo \var{fl\_file} non viene usato.} il lock è
1738 sempre associato all'inode\index{inode}, solo che in questo caso la titolarità
1739 non viene identificata con il riferimento ad una voce nella file table, ma con
1740 il valore del \acr{pid} del processo.
1742 Quando si richiede un lock il kernel effettua una scansione di tutti i lock
1743 presenti sul file\footnote{scandisce cioè la linked list delle strutture
1744 \struct{file\_lock}, scartando automaticamente quelle per cui
1745 \var{fl\_flags} non è \const{FL\_POSIX}, così che le due interfacce restano
1746 ben separate.} per verificare se la regione richiesta non si sovrappone ad
1747 una già bloccata, in caso affermativo decide in base al tipo di lock, in caso
1748 negativo il nuovo lock viene comunque acquisito ed aggiunto alla lista.
1750 Nel caso di rimozione invece questa viene effettuata controllando che il
1751 \acr{pid} del processo richiedente corrisponda a quello contenuto nel lock.
1752 Questa diversa modalità ha delle conseguenze precise riguardo il comportamento
1753 dei lock POSIX. La prima conseguenza è che un lock POSIX non viene mai
1754 ereditato attraverso una \func{fork}, dato che il processo figlio avrà un
1755 \acr{pid} diverso, mentre passa indenne attraverso una \func{exec} in quanto
1756 il \acr{pid} resta lo stesso. Questo comporta che, al contrario di quanto
1757 avveniva con la semantica BSD, quando processo termina tutti i file lock da
1758 esso detenuti vengono immediatamente rilasciati.
1760 La seconda conseguenza è che qualunque file descriptor che faccia riferimento
1761 allo stesso file (che sia stato ottenuto con una \func{dup} o con una
1762 \func{open} in questo caso non fa differenza) può essere usato per rimuovere
1763 un lock, dato che quello che conta è solo il \acr{pid} del processo. Da questo
1764 deriva una ulteriore sottile differenza di comportamento: dato che alla
1765 chiusura di un file i lock ad esso associati vengono rimossi, nella semantica
1766 POSIX basterà chiudere un file descriptor qualunque per cancellare tutti i
1767 lock relativi al file cui esso faceva riferimento, anche se questi fossero
1768 stati creati usando altri file descriptor che restano aperti.
1770 Dato che il controllo sull'accesso ai lock viene eseguito sulla base del
1771 \acr{pid} del processo, possiamo anche prendere in considerazione un'altro
1772 degli aspetti meno chiari di questa interfaccia e cioè cosa succede quando si
1773 richiedono dei lock su regioni che si sovrappongono fra loro all'interno
1774 stesso processo. Siccome il controllo, come nel caso della rimozione, si basa
1775 solo sul \acr{pid} del processo che chiama la funzione, queste richieste
1776 avranno sempre successo.
1778 Nel caso della semantica BSD, essendo i lock relativi a tutto un file e non
1779 accumulandosi,\footnote{questa ultima caratteristica è vera in generale, se
1780 cioè si richiede più volte lo stesso file lock, o più lock sulla stessa
1781 sezione di file, le richieste non si cumulano e basta una sola richiesta di
1782 rilascio per cancellare il lock.} la cosa non ha alcun effetto; la funzione
1783 ritorna con successo, senza che il kernel debba modificare la lista dei lock.
1784 In questo caso invece si possono avere una serie di situazioni diverse: ad
1785 esempio è possibile rimuovere con una sola chiamata più lock distinti
1786 (indicando in una regione che si sovrapponga completamente a quelle di questi
1787 ultimi), o rimuovere solo una parte di un lock preesistente (indicando una
1788 regione contenuta in quella di un altro lock), creando un buco, o coprire con
1789 un nuovo lock altri lock già ottenuti, e così via, a secondo di come si
1790 sovrappongono le regioni richieste e del tipo di operazione richiesta. Il
1791 comportamento seguito in questo caso che la funzione ha successo ed esegue
1792 l'operazione richiesta sulla regione indicata; è compito del kernel
1793 preoccuparsi di accorpare o dividere le voci nella lista dei lock per far si
1794 che le regioni bloccate da essa risultanti siano coerenti con quanto
1795 necessario a soddisfare l'operazione richiesta.
1797 \begin{figure}[!htb]
1798 \footnotesize \centering
1799 \begin{minipage}[c]{15cm}
1800 \includecodesample{listati/Flock.c}
1803 \caption{Sezione principale del codice del programma \file{Flock.c}.}
1804 \label{fig:file_flock_code}
1807 Per fare qualche esempio sul file locking si è scritto un programma che
1808 permette di bloccare una sezione di un file usando la semantica POSIX, o un
1809 intero file usando la semantica BSD; in \figref{fig:file_flock_code} è
1810 riportata il corpo principale del codice del programma, (il testo completo è
1811 allegato nella directory dei sorgenti).
1813 La sezione relativa alla gestione delle opzioni al solito si è omessa, come la
1814 funzione che stampa le istruzioni per l'uso del programma, essa si cura di
1815 impostare le variabili \var{type}, \var{start} e \var{len}; queste ultime due
1816 vengono inizializzate al valore numerico fornito rispettivamente tramite gli
1817 switch \code{-s} e \cmd{-l}, mentre il valore della prima viene impostato con
1818 le opzioni \cmd{-w} e \cmd{-r} si richiede rispettivamente o un write lock o
1819 read lock (i due valori sono esclusivi, la variabile assumerà quello che si è
1820 specificato per ultimo). Oltre a queste tre vengono pure impostate la
1821 variabile \var{bsd}, che abilita la semantica omonima quando si invoca
1822 l'opzione \cmd{-f} (il valore preimpostato è nullo, ad indicare la semantica
1823 POSIX), e la variabile \var{cmd} che specifica la modalità di richiesta del
1824 lock (bloccante o meno), a seconda dell'opzione \cmd{-b}.
1826 Il programma inizia col controllare (\texttt{\small 11--14}) che venga passato
1827 un parametro (il file da bloccare), che sia stato scelto (\texttt{\small
1828 15--18}) il tipo di lock, dopo di che apre (\texttt{\small 19}) il file,
1829 uscendo (\texttt{\small 20--23}) in caso di errore. A questo punto il
1830 comportamento dipende dalla semantica scelta; nel caso sia BSD occorre
1831 reimpostare il valore di \var{cmd} per l'uso con \func{flock}; infatti il
1832 valore preimpostato fa riferimento alla semantica POSIX e vale rispettivamente
1833 \const{F\_SETLKW} o \const{F\_SETLK} a seconda che si sia impostato o meno la
1836 Nel caso si sia scelta la semantica BSD (\texttt{\small 25--34}) prima si
1837 controlla (\texttt{\small 27--31}) il valore di \var{cmd} per determinare se
1838 si vuole effettuare una chiamata bloccante o meno, reimpostandone il valore
1839 opportunamente, dopo di che a seconda del tipo di lock al valore viene
1840 aggiunta la relativa opzione (con un OR aritmetico, dato che \func{flock}
1841 vuole un argomento \param{operation} in forma di maschera binaria. Nel caso
1842 invece che si sia scelta la semantica POSIX le operazioni sono molto più
1843 immediate, si prepara (\texttt{\small 36--40}) la struttura per il lock, e lo
1844 esegue (\texttt{\small 41}).
1846 In entrambi i casi dopo aver richiesto il lock viene controllato il risultato
1847 uscendo (\texttt{\small 44--46}) in caso di errore, o stampando un messaggio
1848 (\texttt{\small 47--49}) in caso di successo. Infine il programma si pone in
1849 attesa (\texttt{\small 50}) finché un segnale (ad esempio un \cmd{C-c} dato da
1850 tastiera) non lo interrompa; in questo caso il programma termina, e tutti i
1851 lock vengono rilasciati.
1853 Con il programma possiamo fare varie verifiche sul funzionamento del file
1854 locking; cominciamo con l'eseguire un read lock su un file, ad esempio usando
1855 all'interno di un terminale il seguente comando:
1858 \begin{minipage}[c]{12cm}
1860 [piccardi@gont sources]$ ./flock -r Flock.c
1863 \end{minipage}\vspace{1mm}
1865 il programma segnalerà di aver acquisito un lock e si bloccherà; in questo
1866 caso si è usato il file locking POSIX e non avendo specificato niente riguardo
1867 alla sezione che si vuole bloccare sono stati usati i valori preimpostati che
1868 bloccano tutto il file. A questo punto se proviamo ad eseguire lo stesso
1869 comando in un altro terminale, e avremo lo stesso risultato. Se invece
1870 proviamo ad eseguire un write lock avremo:
1873 \begin{minipage}[c]{12cm}
1875 [piccardi@gont sources]$ ./flock -w Flock.c
1876 Failed lock: Resource temporarily unavailable
1878 \end{minipage}\vspace{1mm}
1880 come ci aspettiamo il programma terminerà segnalando l'indisponibilità del
1881 lock, dato che il file è bloccato dal precedente read lock. Si noti che il
1882 risultato è lo stesso anche se si richiede il blocco su una sola parte del
1883 file con il comando:
1886 \begin{minipage}[c]{12cm}
1888 [piccardi@gont sources]$ ./flock -w -s0 -l10 Flock.c
1889 Failed lock: Resource temporarily unavailable
1891 \end{minipage}\vspace{1mm}
1893 se invece blocchiamo una regione con:
1896 \begin{minipage}[c]{12cm}
1898 [piccardi@gont sources]$ ./flock -r -s0 -l10 Flock.c
1901 \end{minipage}\vspace{1mm}
1903 una volta che riproviamo ad acquisire il write lock i risultati dipenderanno
1904 dalla regione richiesta; ad esempio nel caso in cui le due regioni si
1905 sovrappongono avremo che:
1908 \begin{minipage}[c]{12cm}
1910 [piccardi@gont sources]$ ./flock -w -s5 -l15 Flock.c
1911 Failed lock: Resource temporarily unavailable
1913 \end{minipage}\vspace{1mm}
1915 ed il lock viene rifiutato, ma se invece si richiede una regione distinta
1919 \begin{minipage}[c]{12cm}
1921 [piccardi@gont sources]$ ./flock -w -s11 -l15 Flock.c
1924 \end{minipage}\vspace{1mm}
1926 ed il lock viene acquisito. Se a questo punto si prova ad eseguire un read
1927 lock che comprende la nuova regione bloccata in scrittura:
1930 \begin{minipage}[c]{12cm}
1932 [piccardi@gont sources]$ ./flock -r -s10 -l20 Flock.c
1933 Failed lock: Resource temporarily unavailable
1935 \end{minipage}\vspace{1mm}
1937 come ci aspettiamo questo non sarà consentito.
1939 Il programma di norma esegue il tentativo di acquisire il lock in modalità non
1940 bloccante, se però usiamo l'opzione \cmd{-b} possiamo impostare la modalità
1941 bloccante, riproviamo allora a ripetere le prove precedenti con questa
1945 \begin{minipage}[c]{12cm}
1947 [piccardi@gont sources]$ ./flock -r -b -s0 -l10 Flock.c Lock acquired
1949 \end{minipage}\vspace{1mm}
1951 il primo comando acquisisce subito un read lock, e quindi non cambia nulla, ma
1952 se proviamo adesso a richiedere un write lock che non potrà essere acquisito
1956 \begin{minipage}[c]{12cm}
1958 [piccardi@gont sources]$ ./flock -w -s0 -l10 Flock.c
1960 \end{minipage}\vspace{1mm}
1962 il programma cioè si bloccherà nella chiamata a \func{fcntl}; se a questo
1963 punto rilasciamo il precedente lock (terminando il primo comando un
1964 \texttt{C-c} sul terminale) potremo verificare che sull'altro terminale il
1965 lock viene acquisito, con la comparsa di una nuova riga:
1968 \begin{minipage}[c]{12cm}
1970 [piccardi@gont sources]$ ./flock -w -s0 -l10 Flock.c
1973 \end{minipage}\vspace{3mm}
1976 Un'altra cosa che si può controllare con il nostro programma è l'interazione
1977 fra i due tipi di lock; se ripartiamo dal primo comando con cui si è ottenuto
1978 un lock in lettura sull'intero file, possiamo verificare cosa succede quando
1979 si cerca di ottenere un lock in scrittura con la semantica BSD:
1982 \begin{minipage}[c]{12cm}
1984 [root@gont sources]# ./flock -f -w Flock.c
1987 \end{minipage}\vspace{1mm}
1989 che ci mostra come i due tipi di lock siano assolutamente indipendenti; per
1990 questo motivo occorre sempre tenere presente quale fra le due semantiche
1991 disponibili stanno usando i programmi con cui si interagisce, dato che i lock
1992 applicati con l'altra non avrebbero nessun effetto.
1996 \subsection{La funzione \func{lockf}}
1997 \label{sec:file_lockf}
1999 Abbiamo visto come l'interfaccia POSIX per il file locking sia molto più
2000 potente e flessibile di quella di BSD, questo comporta anche una maggiore
2001 complessità per via delle varie opzioni da passare a \func{fcntl}. Per questo
2002 motivo è disponibile anche una interfaccia semplificata (ripresa da System V)
2003 che utilizza la funzione \funcd{lockf}, il cui prototipo è:
2004 \begin{prototype}{sys/file.h}{int lockf(int fd, int cmd, off\_t len)}
2006 Applica, controlla o rimuove un \textit{file lock} sul file \param{fd}.
2008 \bodydesc{La funzione restituisce 0 in caso di successo, e -1 in caso di
2009 errore, nel qual caso \var{errno} assumerà uno dei valori:
2011 \item[\errcode{EWOULDBLOCK}] Non è possibile acquisire il lock, e si è
2012 selezionato \const{LOCK\_NB}, oppure l'operazione è proibita perché il
2013 file è mappato in memoria.
2014 \item[\errcode{ENOLCK}] Il sistema non ha le risorse per il locking: ci
2015 sono troppi segmenti di lock aperti, si è esaurita la tabella dei lock.
2017 ed inoltre \errval{EBADF}, \errval{EINVAL}.
2021 Il comportamento della funzione dipende dal valore dell'argomento \param{cmd},
2022 che specifica quale azione eseguire; i valori possibili sono riportati in
2023 \tabref{tab:file_lockf_type}.
2028 \begin{tabular}[c]{|l|p{7cm}|}
2030 \textbf{Valore} & \textbf{Significato} \\
2033 \const{LOCK\_SH}& Richiede uno \textit{shared lock}. Più processi possono
2034 mantenere un lock condiviso sullo stesso file.\\
2035 \const{LOCK\_EX}& Richiede un \textit{exclusive lock}. Un solo processo
2036 alla volta può mantenere un lock esclusivo su un file. \\
2037 \const{LOCK\_UN}& Sblocca il file.\\
2038 \const{LOCK\_NB}& Non blocca la funzione quando il lock non è disponibile,
2039 si specifica sempre insieme ad una delle altre operazioni
2040 con un OR aritmetico dei valori.\\
2043 \caption{Valori possibili per l'argomento \param{cmd} di \func{lockf}.}
2044 \label{tab:file_lockf_type}
2047 Qualora il lock non possa essere acquisito, a meno di non aver specificato
2048 \const{LOCK\_NB}, la funzione si blocca fino alla disponibilità dello stesso.
2049 Dato che la funzione è implementata utilizzando \func{fcntl} la semantica
2050 delle operazioni è la stessa di quest'ultima (pertanto la funzione non è
2051 affatto equivalente a \func{flock}).
2055 \subsection{Il \textit{mandatory locking}}
2056 \label{sec:file_mand_locking}
2058 Il \textit{mandatory locking} è una opzione introdotta inizialmente in SVr4,
2059 per introdurre un file locking che, come dice il nome, fosse effettivo
2060 indipendentemente dai controlli eseguiti da un processo. Con il
2061 \textit{mandatory locking} infatti è possibile far eseguire il blocco del file
2062 direttamente al sistema, così che, anche qualora non si predisponessero le
2063 opportune verifiche nei processi, questo verrebbe comunque rispettato.
2065 Per poter utilizzare il \textit{mandatory locking} è stato introdotto un
2066 utilizzo particolare del bit \acr{sgid}. Se si ricorda quanto esposto in
2067 \secref{sec:file_suid_sgid}), esso viene di norma utilizzato per cambiare il
2068 group-ID effettivo con cui viene eseguito un programma, ed è pertanto sempre
2069 associato alla presenza del permesso di esecuzione per il gruppo. Impostando
2070 questo bit su un file senza permesso di esecuzione in un sistema che supporta
2071 il \textit{mandatory locking}, fa sì che quest'ultimo venga attivato per il
2072 file in questione. In questo modo una combinazione dei permessi
2073 originariamente non contemplata, in quanto senza significato, diventa
2074 l'indicazione della presenza o meno del \textit{mandatory
2075 locking}.\footnote{un lettore attento potrebbe ricordare quanto detto in
2076 \secref{sec:file_chmod} e cioè che il bit \acr{sgid} viene cancellato (come
2077 misura di sicurezza) quando di scrive su un file, questo non vale quando
2078 esso viene utilizzato per attivare il \textit{mandatory locking}.}
2080 L'uso del \textit{mandatory locking} presenta vari aspetti delicati, dato che
2081 neanche root può passare sopra ad un lock; pertanto un processo che blocchi un
2082 file cruciale può renderlo completamente inaccessibile, rendendo completamente
2083 inutilizzabile il sistema\footnote{il problema si potrebbe risolvere
2084 rimuovendo il bit \acr{sgid}, ma non è detto che sia così facile fare questa
2085 operazione con un sistema bloccato.} inoltre con il \textit{mandatory
2086 locking} si può bloccare completamente un server NFS richiedendo una lettura
2087 su un file su cui è attivo un lock. Per questo motivo l'abilitazione del
2088 mandatory locking è di norma disabilitata, e deve essere attivata filesystem
2089 per filesystem in fase di montaggio (specificando l'apposita opzione di
2090 \func{mount} riportata in \tabref{tab:sys_mount_flags}, o con l'opzione
2091 \cmd{mand} per il comando).
2093 Si tenga presente inoltre che il \textit{mandatory locking} funziona solo
2094 sull'interfaccia POSIX di \func{fcntl}. Questo ha due conseguenze: che non si
2095 ha nessun effetto sui lock richiesti con l'interfaccia di \func{flock}, e che
2096 la granularità del lock è quella del singolo byte, come per \func{fcntl}.
2098 La sintassi di acquisizione dei lock è esattamente la stessa vista in
2099 precedenza per \func{fcntl} e \func{lockf}, la differenza è che in caso di
2100 mandatory lock attivato non è più necessario controllare la disponibilità di
2101 accesso al file, ma si potranno usare direttamente le ordinarie funzioni di
2102 lettura e scrittura e sarà compito del kernel gestire direttamente il file
2105 Questo significa che in caso di read lock la lettura dal file potrà avvenire
2106 normalmente con \func{read}, mentre una \func{write} si bloccherà fino al
2107 rilascio del lock, a meno di non aver aperto il file con \const{O\_NONBLOCK},
2108 nel qual caso essa ritornerà immediatamente con un errore di \errcode{EAGAIN}.
2110 Se invece si è acquisito un write lock tutti i tentativi di leggere o scrivere
2111 sulla regione del file bloccata fermeranno il processo fino al rilascio del
2112 lock, a meno che il file non sia stato aperto con \const{O\_NONBLOCK}, nel
2113 qual caso di nuovo si otterrà un ritorno immediato con l'errore di
2116 Infine occorre ricordare che le funzioni di lettura e scrittura non sono le
2117 sole ad operare sui contenuti di un file, e che sia \func{creat} che
2118 \func{open} (quando chiamata con \const{O\_TRUNC}) effettuano dei cambiamenti,
2119 così come \func{truncate}, riducendone le dimensioni (a zero nei primi due
2120 casi, a quanto specificato nel secondo). Queste operazioni sono assimilate a
2121 degli accessi in scrittura e pertanto non potranno essere eseguite (fallendo
2122 con un errore di \errcode{EAGAIN}) su un file su cui sia presente un qualunque
2123 lock (le prime due sempre, la terza solo nel caso che la riduzione delle
2124 dimensioni del file vada a sovrapporsi ad una regione bloccata).
2126 L'ultimo aspetto della interazione del \textit{mandatory locking} con le
2127 funzioni di accesso ai file è quello relativo ai file mappati in memoria (che
2128 abbiamo trattato in \secref{sec:file_memory_map}); anche in tal caso infatti,
2129 quando si esegue la mappatura con l'opzione \const{MAP\_SHARED}, si ha un
2130 accesso al contenuto del file. Lo standard SVID prevede che sia impossibile
2131 eseguire il memory mapping di un file su cui sono presenti dei
2132 lock\footnote{alcuni sistemi, come HP-UX, sono ancora più restrittivi e lo
2133 impediscono anche in caso di \textit{advisory locking}, anche se questo
2134 comportamento non ha molto senso, dato che comunque qualunque accesso
2135 diretto al file è consentito.} in Linux è stata però fatta la scelta
2136 implementativa\footnote{per i dettagli si possono leggere le note relative
2137 all'implementazione, mantenute insieme ai sorgenti del kernel nel file
2138 \file{Documentation/mandatory.txt}.} di seguire questo comportamento
2139 soltanto quando si chiama \func{mmap} con l'opzione \const{MAP\_SHARED} (nel
2140 qual caso la funzione fallisce con il solito \errcode{EAGAIN}) che comporta la
2141 possibilità di modificare il file.
2142 \index{file!locking|)}
2147 %%% Local Variables:
2149 %%% TeX-master: "gapil"