1 \chapter{La gestione dei processi}
2 \label{cha:process_handling}
4 Come accennato nell'introduzione in un sistema unix ogni attività del sistema
5 viene svolta tramite i processi. In sostanza i processi costituiscono l'unità
6 base per l'allocazione e l'uso delle risorse del sistema.
8 Nel precedente capitolo abbiamo visto come funziona un singolo processo, in
9 questo capitolo affronteremo i dettagli della creazione e della distruzione
10 dei processi, della gestione dei loro attributi e privilegi, e di tutte le
11 funzioni a questo connesse. Infine nella sezione finale affronteremo alcune
12 problematiche generiche della programmazione in ambiente multitasking.
16 \section{Introduzione}
19 Partiremo con una introduzione generale ai concetti che stanno alla base della
20 gestione dei processi in un sistema unix-like. Introdurremo in questa sezione
21 l'architettura della gestione dei processi e le sue principali
22 caratteristiche, e daremo una panoramica sull'uso delle principali funzioni
23 per la gestione dei processi.
26 \subsection{La gerarchia dei processi}
27 \label{sec:proc_hierarchy}
29 A differenza di quanto avviene in altri sistemi (ad esempio nel VMS la
30 generazione di nuovi processi è un'operazione privilegiata) una delle
31 caratteristiche di unix (che esamineremo in dettaglio più avanti) è che
32 qualunque processo può a sua volta generarne altri, detti processi figli
33 (\textit{child process}). Ogni processo è identificato presso il sistema da un
34 numero unico, il cosiddetto \textit{process identifier} o, più brevemente,
37 Una seconda caratteristica di un sistema unix è che la generazione di un
38 processo è una operazione separata rispetto al lancio di un programma. In
39 genere la sequenza è sempre quella di creare un nuovo processo, il quale
40 eseguirà, in un passo successivo, il programma voluto: questo è ad esempio
41 quello che fa la shell quando mette in esecuzione il programma che gli
42 indichiamo nella linea di comando.
44 Una terza caratteristica è che ogni processo è sempre stato generato da un
45 altro, che viene chiamato processo padre (\textit{parent process}). Questo
46 vale per tutti i processi, con una sola eccezione: dato che ci deve essere un
47 punto di partenza esiste un processo speciale (che normalmente è
48 \cmd{/sbin/init}), che viene lanciato dal kernel alla conclusione della fase
49 di avvio; essendo questo il primo processo lanciato dal sistema ha sempre il
50 \acr{pid} uguale a 1 e non è figlio di nessun altro processo.
52 Ovviamente \cmd{init} è un processo speciale che in genere si occupa di far
53 partire tutti gli altri processi necessari al funzionamento del sistema,
54 inoltre \cmd{init} è essenziale per svolgere una serie di compiti
55 amministrativi nelle operazioni ordinarie del sistema (torneremo su alcuni di
56 essi in \secref{sec:proc_termination}) e non può mai essere terminato. La
57 struttura del sistema comunque consente di lanciare al posto di \cmd{init}
58 qualunque altro programma, e in casi di emergenza (ad esempio se il file di
59 \cmd{init} si fosse corrotto) è ad esempio possibile lanciare una shell al suo
60 posto, passando la riga \cmd{init=/bin/sh} come parametro di avvio.
65 [piccardi@gont piccardi]$ pstree -n
82 |-bash---startx---xinit-+-XFree86
83 | `-WindowMaker-+-ssh-agent
91 | |-wterm---bash---pstree
92 | `-wterm---bash-+-emacs
98 \caption{L'albero dei processi, così come riportato dal comando
100 \label{fig:proc_tree}
103 Dato che tutti i processi attivi nel sistema sono comunque generati da
104 \cmd{init} o da uno dei suoi figli\footnote{in realtà questo non è del tutto
105 vero, in Linux ci sono alcuni processi che pur comparendo come figli di
106 init, o con \acr{pid} successivi, sono in realtà generati direttamente dal
107 kernel, (come \cmd{keventd}, \cmd{kswapd}, etc.)} si possono classificare i
108 processi con la relazione padre/figlio in una organizzazione gerarchica ad
109 albero, in maniera analoga a come i file sono organizzati in un albero di
110 directory (si veda \secref{sec:file_file_struct}); in \curfig\ si è mostrato il
111 risultato del comando \cmd{pstree} che permette di mostrare questa struttura,
112 alla cui base c'è \cmd{init} che è progenitore di tutti gli altri processi.
115 \subsection{Una panoramica sulle funzioni di gestione}
116 \label{sec:proc_handling_intro}
118 I processi vengono creati dalla funzione \func{fork}; in molti unix questa è
119 una system call, Linux però usa un'altra nomenclatura, e la funzione fork è
120 basata a sua volta sulla system call \func{\_\_clone}, che viene usata anche
121 per generare i \textit{thread}. Il processo figlio creato dalla \func{fork} è
122 una copia identica del processo processo padre, ma ha nuovo \acr{pid} e viene
123 eseguito in maniera indipendente (le differenze fra padre e figlio sono
124 affrontate in dettaglio in \secref{sec:proc_fork}).
126 Se si vuole che il processo padre si fermi fino alla conclusione del processo
127 figlio questo deve essere specificato subito dopo la \func{fork} chiamando la
128 funzione \func{wait} o la funzione \func{waitpid} (si veda
129 \secref{sec:proc_wait}); queste funzioni restituiscono anche una informazione
130 abbastanza limitata (lo stato di terminazione) sulle cause della terminazione
133 Quando un processo ha concluso il suo compito o ha incontrato un errore non
134 risolvibile esso può essere terminato con la funzione \func{exit} (si veda
135 quanto discusso in \secref{sec:proc_conclusion}). La vita del processo però
136 termina solo quando la notifica della sua conclusione viene ricevuta dal
137 processo padre, a quel punto tutte le risorse allocate nel sistema ad esso
138 associate vengono rilasciate.
140 Avere due processi che eseguono esattamente lo stesso codice non è molto
141 utile, normalmente si genera un secondo processo per affidargli l'esecuzione
142 di un compito specifico (ad esempio gestire una connessione dopo che questa è
143 stata stabilita), o fargli eseguire (come fa la shell) un altro programma. Per
144 quest'ultimo caso si usa la seconda funzione fondamentale per programmazione
145 coi processi che è la \func{exec}.
147 Il programma che un processo sta eseguendo si chiama immagine del processo (o
148 \textit{process image}), le funzioni della famiglia \func{exec} permettono di
149 caricare un'altro programma da disco sostituendo quest'ultimo all'immagine
150 corrente; questo fa si che l'immagine precedente venga completamente
151 cancellata. Questo significa che quando il nuovo programma esce anche il
152 processo termina, e non si può tornare alla precedente immagine.
154 Per questo motivo la \func{fork} e la \func{exec} sono funzioni molto
155 particolari con caratteristiche uniche rispetto a tutte le altre, infatti la
156 prima ritorna due volte (nel processo padre e nel figlio) mentre la seconda
157 non ritorna mai (in quanto con essa viene eseguito un altro programma).
161 \section{La gestione dei processi}
162 \label{sec:proc_handling}
164 In questa sezione tratteremo le funzioni per la gestione dei processi, a
165 partire dalle funzioni elementari che permettono di leggerne gli
166 identificatori, alle varie funzioni di manipolazione dei processi, che
167 riguardano la loro creazione, terminazione, e la messa in esecuzione di altri
171 \subsection{Gli identificatori dei processi}
174 Come accennato nell'introduzione ogni processo viene identificato dal sistema
175 da un numero identificativo unico, il \textit{process id} o \acr{pid};
176 quest'ultimo è un tipo di dato standard, il \type{pid\_t} che in genere è un
177 intero con segno (nel caso di Linux e delle glibc il tipo usato è \type{int}).
179 Il \acr{pid} viene assegnato in forma progressiva ogni volta che un nuovo
180 processo viene creato, fino ad un limite massimo (in genere essendo detto
181 numero memorizzato in un intero a 16 bit si arriva a 32767) oltre il quale si
182 riparte dal numero più basso disponibile (FIXME: verificare, non sono sicuro).
183 Per questo motivo processo il processo di avvio (\cmd{init}) ha sempre il
184 \acr{pid} uguale a uno.
186 Tutti i processi inoltre memorizzano anche il \acr{pid} del genitore da cui
187 sono stati creati, questo viene chiamato in genere \acr{ppid} (da
188 \textit{parent process id}). Questi due identificativi possono essere
189 ottenuti da programma usando le funzioni:
191 \headdecl{sys/types.h}
193 \funcdecl{pid\_t getpid(void)} restituisce il pid del processo corrente.
194 \funcdecl{pid\_t getppid(void)} restituisce il pid del padre del processo
197 Entrambe le funzioni non riportano condizioni di errore.
199 \noindent esempi dell'uso di queste funzioni sono riportati in
200 \figref{fig:proc_fork_code}, nel programma di esempio \file{ForkTest.c}.
202 Il fatto che il \acr{pid} sia un numero univoco per il sistema lo rende il
203 candidato ideale per generare ulteriori indicatori associati al processo di
204 cui diventa possibile garantire l'unicità: ad esempio la funzione
205 \func{tmpname} (si veda \secref{sec:file_temp_file}) usa il \acr{pid} per
206 generare un pathname univoco, che non potrà essere replicato da un'altro
207 processo che usi la stessa funzione.
209 Tutti i processi figli dello stesso processo padre sono detti
210 \textit{sibling}, questa è una delle relazioni usate nel \textsl{controllo di
211 sessione}, in cui si raggruppano i processi creati su uno stesso terminale,
212 o relativi allo stesso login. Torneremo su questo argomento in dettaglio in
213 \secref{cha:session}, dove esamineremo gli altri identificativi associati ad
214 un processo e le varie relazioni fra processi utilizzate per definire una
217 Oltre al \acr{pid} e al \acr{ppid}, e a quelli usati per il controllo di
218 sessione, ad ogni processo sono associati altri identificatori, usati per il
219 controllo di accesso, che servono per determinare se il processo può o meno
220 eseguire le operazioni richieste, a seconda dei privilegi e dell'identità di
221 chi lo ha posto in esecuzione; su questi torneremo in dettagli più avanti in
222 \secref{sec:proc_perms}.
225 \subsection{La funzione \func{fork}}
226 \label{sec:proc_fork}
228 La funzione \func{fork} è la funzione fondamentale della gestione dei
229 processi: come si è detto l'unico modo di creare un nuovo processo è
230 attraverso l'uso di questa funzione, essa quindi riveste un ruolo centrale
231 tutte le volte che si devono scrivere programmi che usano il multitasking. Il
232 prototipo della funzione è:
234 \headdecl{sys/types.h}
236 \funcdecl{pid\_t fork(void)}
237 Restituisce zero al padre e il \acr{pid} al figlio in caso di successo,
238 ritorna -1 al padre (senza creare il figlio) in caso di errore;
239 \texttt{errno} può assumere i valori:
241 \item \macro{EAGAIN} non ci sono risorse sufficienti per creare un'altro
242 processo (per allocare la tabella delle pagine e le strutture del task) o
243 si è esaurito il numero di processi disponibili.
244 \item \macro{ENOMEM} non è stato possibile allocare la memoria per le
245 strutture necessarie al kernel per creare il nuovo processo.
249 Dopo il successo dell'esecuzione di una \func{fork} sia il processo padre che
250 il processo figlio continuano ad essere eseguiti normalmente alla istruzione
251 seguente la \func{fork}; il processo figlio è però una copia del padre, e
252 riceve una copia dei segmenti di testo, stack e dati (vedi
253 \secref{sec:proc_mem_layout}), ed esegue esattamente lo stesso codice del
254 padre, ma la memoria è copiata, non condivisa\footnote{In generale il segmento
255 di testo, che è identico, è condiviso e tenuto in read-only, Linux poi
256 utilizza la tecnica del \textit{copy-on-write}, per cui la memoria degli
257 altri segmenti viene copiata dal kernel per il nuovo processo solo in caso
258 di scrittura, rendendo molto più efficiente il meccanismo} pertanto padre e
259 figlio vedono variabili diverse.
261 La differenza che si ha nei due processi è che nel processo padre il valore di
262 ritorno della funzione fork è il \acr{pid} del processo figlio, mentre nel
263 figlio è zero; in questo modo il programma può identificare se viene eseguito
264 dal padre o dal figlio. Si noti come la funzione \func{fork} ritorni
265 \textbf{due} volte: una nel padre e una nel figlio. La sola differenza che si
266 ha nei due processi è il valore di ritorno restituito dalla funzione, che nel
267 padre è il \acr{pid} del figlio mentre nel figlio è zero; in questo modo il
268 programma può identificare se viene eseguito dal padre o dal figlio.
270 La scelta di questi valori non è casuale, un processo infatti può avere più
271 figli, ed il valore di ritorno di \func{fork} è l'unico modo che permette di
272 identificare quello appena creato; al contrario un figlio ha sempre un solo
273 padre (il cui \acr{pid} può sempre essere ottenuto con \func{getppid}, vedi
274 \secref{sec:proc_pid}) e si usa il valore nullo, che non può essere il
275 \acr{pid} di nessun processo.
280 #include <errno.h> /* error definitions and routines */
281 #include <stdlib.h> /* C standard library */
282 #include <unistd.h> /* unix standard library */
283 #include <stdio.h> /* standard I/O library */
284 #include <string.h> /* string functions */
286 /* Help printing routine */
289 int main(int argc, char *argv[])
292 * Variables definition
299 ... /* handling options */
300 nchild = atoi(argv[optind]);
301 printf("Test for forking %d child\n", nchild);
302 /* loop to fork children */
303 for (i=0; i<nchild; i++) {
304 if ( (pid = fork()) < 0) {
306 printf("Error on %d child creation, %s\n", i+1, strerror(errno));
309 if (pid == 0) { /* child */
310 printf("Child %d successfully executing\n", ++i);
311 if (wait_child) sleep(wait_child);
312 printf("Child %d, parent %d, exiting\n", i, getppid());
314 } else { /* parent */
315 printf("Spawned %d child, pid %d \n", i+1, pid);
316 if (wait_parent) sleep(wait_parent);
317 printf("Go to next child \n");
321 if (wait_end) sleep(wait_end);
325 \caption{Esempio di codice per la creazione di nuovi processi.}
326 \label{fig:proc_fork_code}
329 Normalmente la chiamata a \func{fork} può fallire solo per due ragioni, o ci
330 sono già troppi processi nel sistema (il che di solito è sintomo che
331 qualcos'altro non sta andando per il verso giusto) o si è ecceduto il limite
332 sul numero totale di processi permessi all'utente (il valore della costante
333 \macro{CHILD\_MAX} definito in \file{limits.h}, che fa riferimento ai processo
334 con lo stesso \textit{real user id}).
336 L'uso di \func{fork} avviene secondo due modalità principali; la prima è
337 quella in cui all'interno di un programma si creano processi figli per
338 affidargli l'esecuzione di una certa sezione di codice, mentre il processo
339 padre ne esegue un'altra. È il caso tipico dei server di rete in cui il padre
340 riceve ed accetta le richieste da parte dei client, per ciascuna delle quali
341 pone in esecuzione un figlio che è incaricato di fornire il servizio.
343 La seconda modalità è quella in cui il processo vuole eseguire un altro
344 programma; questo è ad esempio il caso della shell. In questo caso il processo
345 crea un figlio la cui unica operazione è quella fare una \func{exec} (di cui
346 parleremo in \secref{sec:proc_exec}) subito dopo la \func{fork}.
348 Alcuni sistemi operativi (il VMS ad esempio) combinano le operazioni di questa
349 seconda modalità (una \func{fork} seguita da una \func{exec}) in un'unica
350 operazione che viene chiamata \textit{spawn}. Nei sistemi unix-like è stato
351 scelto di mantenere questa separazione, dato che, come visto per la prima
352 modalità d'uso, esistono numerosi scenari in cui si può usare una \func{fork}
353 senza bisogno di una \func{exec}. Inoltre anche nel caso della seconda
354 modalità di operazioni, avere le due funzioni separate permette al figlio di
355 cambiare gli attributi del processo (maschera dei segnali, redirezione
356 dell'output, \textit{user id}) prima della \func{exec}, rendendo molto più
357 flessibile la possibilità di modificare gli attributi del nuovo processo.
359 In \curfig\ si è riportato il corpo del codice del programma di esempio
360 \cmd{forktest}, che ci permette di illustrare molte caratteristiche dell'uso
361 della funzione \func{fork}. Il programma permette di creare un numero di figli
362 specificato a linea di comando, e prende anche alcune opzioni per indicare
363 degli eventuali tempi di attesa in secondi (eseguiti tramite la funzione
364 \func{sleep}) per il padre ed il figlio (con \cmd{forktest -h} si ottiene la
365 descrizione delle opzioni); il codice completo, compresa la parte che gestisce
366 le opzioni a riga di comando, è disponibile nel file \file{ForkTest.c}.
368 Decifrato il numero di figli da creare, il ciclo principale del programma
369 (\texttt{\small 28--40}) esegue in successione la creazione dei processi figli
370 controllando il successo della chiamata a \func{fork} (\texttt{\small
371 29--31}); ciascun figlio (\texttt{\small 29--31}) si limita a stampare il
372 suo numero di successione, eventualmente attendere il numero di secondi
373 specificato e scrivere un messaggio prima di uscire. Il processo padre invece
374 (\texttt{\small 29--31}) stampa un messaggio di creazione, eventualmente
375 attende il numero di secondi specificato, e procede nell'esecuzione del ciclo;
376 alla conclusione del ciclo, prima di uscire, può essere specificato un altro
379 Se eseguiamo il comando senza specificare attese (come si può notare in
380 \texttt{\small 17--19} i valori di default specificano di non attendere),
381 otterremo come output sul terminale:
385 [piccardi@selidor sources]$ ./forktest 3
386 Process 1963: forking 3 child
387 Spawned 1 child, pid 1964
388 Child 1 successfully executing
389 Child 1, parent 1963, exiting
391 Spawned 2 child, pid 1965
392 Child 2 successfully executing
393 Child 2, parent 1963, exiting
395 Child 3 successfully executing
396 Child 3, parent 1963, exiting
397 Spawned 3 child, pid 1966
402 Esaminiamo questo risultato: una prima conclusione che si può trarre è non si
403 può dire quale processo fra il padre ed il figlio venga eseguito per
404 primo\footnote{anche se nel kernel 2.4.x era stato introdotto un meccanismo
405 che metteva in esecuzione sempre il xxx per primo (TODO recuperare le
406 informazioni esatte)} dopo la chiamata a \func{fork}; dall'esempio si può
407 notare infatti come nei primi due cicli sia stato eseguito per primo il padre
408 (con la stampa del \acr{pid} del nuovo processo) per poi passare
409 all'esecuzione del figlio (completata con i due avvisi di esecuzione ed
410 uscita), e tornare all'esecuzione del padre (con la stampa del passaggio al
411 ciclo successivo), mentre la terza volta è stato prima eseguito il figlio
412 (fino alla conclusione) e poi il padre.
414 In generale l'ordine di esecuzione dipenderà, oltre che dall'algoritmo di
415 scheduling usato dal kernel, dalla particolare situazione in si trova la
416 macchina al momento della chiamata, risultando del tutto impredicibile.
417 Eseguendo più volte il programma di prova e producendo un numero diverso di
418 figli, si sono ottenute situazioni completamente diverse, compreso il caso in
419 cui il processo padre ha eseguito più di una \func{fork} prima che uno dei
420 figli venisse messo in esecuzione.
422 Pertanto non si può fare nessuna assunzione sulla sequenza di esecuzione delle
423 istruzioni del codice fra padre e figli, nè sull'ordine in cui questi potranno
424 essere messi in esecuzione, e se è necessaria una qualche forma di precedenza
425 occorrerà provvedere ad espliciti meccanismi di sincronizzazione, pena il
426 rischio di incorrere nelle cosiddette \textit{race conditions}.
428 Si noti inoltre che, come accennato, essendo i segmenti di memoria utilizzati
429 dai singoli processi completamente separati, le modifiche delle variabili nei
430 processi figli (come l'incremento di \var{i} in \texttt{\small 33}) sono
431 visibili solo al loro interno, e non hanno alcun effetto sul valore che le
432 stesse variabili hanno nel processo padre (ed in eventuali altri processi
433 figli che eseguano lo stesso codice).
435 Un secondo aspetto molto importante nella creazione dei processi figli è
436 quello dell'interazione dei vari processi con i file; per illustrarlo meglio
437 proviamo a redirigere su un file l'output del nostro programma di test, quello
442 [piccardi@selidor sources]$ ./forktest 3 > output
443 [piccardi@selidor sources]$ cat output
444 Process 1967: forking 3 child
445 Child 1 successfully executing
446 Child 1, parent 1967, exiting
447 Test for forking 3 child
448 Spawned 1 child, pid 1968
450 Child 2 successfully executing
451 Child 2, parent 1967, exiting
452 Test for forking 3 child
453 Spawned 1 child, pid 1968
455 Spawned 2 child, pid 1969
457 Child 3 successfully executing
458 Child 3, parent 1967, exiting
459 Test for forking 3 child
460 Spawned 1 child, pid 1968
462 Spawned 2 child, pid 1969
464 Spawned 3 child, pid 1970
468 che come si vede è completamente diverso da quanto ottenevamo sul terminale.
470 Il comportamento delle varie funzioni di interfaccia con i file è analizzato
471 in gran dettaglio in \capref{cha:file_unix_interface} e in
472 \secref{cha:files_std_interface}. Qui basta accennare che si sono usate le
473 funzioni standard della libreria del C che prevedono l'output bufferizzato; e
474 questa bufferizzazione varia a seconda che si tratti di un file su disco (in
475 cui il buffer viene scaricato su disco solo quando necessario) o di un
476 terminale (nel qual caso il buffer viene scaricato ad ogni a capo).
478 Nel primo esempio allora avevamo che ad ogni chiamata a \func{printf} il
479 buffer veniva scaricato, e le singole righe erano stampate a video subito dopo
480 l'esecuzione della \func{printf}. Ma con la redirezione su file la scrittura
481 non avviene più alla fine di ogni riga e l'output resta nel buffer, per questo
482 motivo, dato che ogni figlio riceve una copia della memoria del padre, esso
483 riceverà anche quanto c'è nel buffer delle funzioni di I/O, comprese le linee
484 scritte dal padre fino allora. Così quando all'uscita del figlio il buffer
485 viene scritto su disco, troveremo nel file anche tutto quello che il processo
486 padre aveva scritto prima della sua creazione. E alla fine del file, dato che
487 in questo caso il padre esce per ultimo, troviamo anche l'output del padre.
489 Ma l'esempio ci mostra un'altro aspetto fondamentale dell'interazione con i
490 file, che era valido anche per l'esempio precedente, ma meno evidente; il
491 fatto cioè che non solo processi diversi possono scrivere in contemporanea
492 sullo stesso file (l'argomento della condivisione dei file in unix è trattato
493 in dettaglio in \secref{sec:file_sharing}), ma anche che, a differenza di
494 quanto avviene per le variabili, la posizione corrente sul file è condivisa
495 fra il padre e tutti i processi figli.
497 Quello che succede è che quando lo standard output del padre viene rediretto,
498 lo stesso avviene anche per tutti i figli; la funzione \func{fork} infatti ha
499 la caratteristica di duplicare (allo stesso modo in cui lo fa la funzione
500 \func{dup}, trattata in \secref{sec:file_dup}) nei figli tutti i file
501 descriptor aperti nel padre, il che comporta che padre e figli condividono le
502 stesse voci della file table (per la spiegazione di questi termini si veda
503 \secref{sec:file_sharing}) e quindi anche l'offset corrente nel file.
505 In questo modo se un processo scrive sul file aggiornerà l'offset sulla file
506 table, e tutti gli altri processi che condividono la file table vedranno il
507 nuovo valore; in questo modo si evita, in casi come quello appena mostrato in
508 cui diversi processi scrivono sullo stesso file, che l'output successivo di un
509 processo vada a sovrapporsi a quello dei precedenti (l'output potrà risultare
510 mescolato, ma non ci saranno parti perdute per via di una sovrascrittura).
512 Questo tipo di comportamento è essenziale in tutti quei casi in cui il padre
513 crea un figlio ed attende la sua conclusione per proseguire, ed entrambi
514 scrivono sullo stesso file, ad esempio lo standard output (un caso tipico è la
515 shell). Se l'output viene rediretto con questo comportamento avremo che il
516 padre potrà continuare a scrivere automaticamente in coda a quanto scritto dal
517 figlio; se così non fosse ottenere questo comportamento sarebbe estremamente
518 complesso necessitando di una qualche forma di comunicazione fra i due
521 In generale comunque non è buona norma far scrivere più processi sullo stesso
522 file senza una qualche forma di sincronizzazione in quanto, come visto con il
523 nostro esempio, le varie scritture risulteranno mescolate fra loro in una
524 sequenza impredicibile. Le modalità con cui in genere si usano i file dopo una
525 \func{fork} sono sostanzialmente due:
527 \item Il processo padre aspetta la conclusione del figlio. In questo caso non
528 è necessaria nessuna azione riguardo ai file, in quanto la sincronizzazione
529 degli offset dopo eventuali operazioni di lettura e scrittura effettuate dal
531 \item L'esecuzione di padre e figlio procede indipendentemente. In questo caso
532 ciascuno dei due deve chiudere i file che non gli servono una volta che la
533 \func{fork} è stata eseguita, per evitare ogni forma di interferenza.
536 Oltre ai file aperti i processi figli ereditano dal padre una serie di altre
537 proprietà; la lista dettagliata delle proprietà che padre e figlio hanno in
538 comune dopo l'esecuzione di una \func{fork} è la seguente:
540 \item i file aperti e gli eventuali flag di \textit{close-on-exec} (vedi
541 \secref{sec:proc_exec} e \secref{sec:file_fcntl}) se settati.
542 \item gli identificatori per il controllo di accesso: il \textit{real user
543 id}, il \textit{real group id}, l'\textit{effective user id},
544 l'\textit{effective group id} e i \textit{supplementary group id} (vedi
545 \secref{sec:proc_user_group}).
546 \item gli identificatori per il controllo di sessione: il \textit{process
547 group id} e il \textit{session id} e il terminale di controllo (vedi
548 \secref{sec:sess_xxx} e \secref{sec:sess_xxx}).
549 \item i flag di \acr{suid} e \acr{sgid} (vedi \secref{sec:file_suid_sgid}).
550 \item la directory di lavoro e la directory radice (vedi
551 \secref{sec:file_work_dir}).
552 \item la maschera dei permessi di creazione (vedi \secref{sec:file_umask}).
553 \item la maschera dei segnali bloccati e le azioni installate (vedi
554 \secref{sec:sig_xxx}).
555 \item i segmenti di memoria condivisa agganciati al processo (vedi
556 \secref{sec:ipc_xxx}).
557 \item i limiti sulle risorse (vedi \secref{sec:sys_xxx}).
558 \item le variabili di ambiente (vedi \secref{sec:proc_environ}).
560 le differenze fra padre e figlio dopo la \func{fork} invece sono:
562 \item il valore di ritorno di \func{fork}.
563 \item il \textit{process id}.
564 \item il \textit{parent process id} (quello del figlio viene settato al
565 \acr{pid} del padre).
566 \item i valori dei tempi di esecuzione (\var{tms\_utime}, \var{tms\_stime},
567 \var{tms\_cutime}, \var{tms\_uetime}) che nel figlio sono posti a zero.
568 \item i \textit{file lock} (vedi \secref{sec:file_locking}, che non vengono ereditati dal figlio.
569 \item gli allarmi ed i segnali pendenti (vedi \secref{sec:sig_xxx}), che per il figlio vengono cancellati.
573 \subsection{La funzione \func{vfork}}
574 \label{sec:proc_vfork}
576 La funzione \func{vfork} è esattamente identica a \func{fork} ed ha la stessa
577 semantica e gli stessi errori; la sola differenza è che non viene creata la
578 tabella delle pagine né la struttura dei task per il nuovo processo. Il
579 processo padre è posto in attesa fintanto che il figlio non ha eseguito una
580 \func{execve} o non è uscito con una \func{\_exit}. Il figlio condivide la
581 memoria del padre (e modifiche possono avere effetti imprevedibili) e non deve
582 ritornare o uscire con \func{exit} ma usare esplicitamente \func{\_exit}.
584 Questa funzione è un rimasuglio dei vecchi tempi in cui eseguire una
585 \func{fork} comportava anche la copia completa del segmento dati del processo
586 padre, che costituiva un inutile appesantimento in tutti quei casi in cui la
587 \func{fork} veniva fatto solo per poi eseguire una \func{exec}. La funzione
588 venne introdotta in BSD per migliorare le prestazioni.
590 Dato che Linux supporta il \textit{copy on write} la perdita di prestazioni è
591 assolutamente trascurabile, e l'uso di questa funzione (che resta un caso
592 speciale della funzione \func{clone}), è deprecato, per questo eviteremo di
593 trattarla ulteriormente.
596 \subsection{La conclusione di un processo.}
597 \label{sec:proc_termination}
599 In \secref{sec:proc_conclusion} abbiamo già affrontato le modalità con cui
600 concludere un programma, ma dal punto di vista del programma stesso; avendo a
601 che fare con un sistema multitasking occorre adesso affrontare l'argomento dal
602 punto di vista generale di come il sistema gestisce la conclusione dei
605 Abbiamo già visto in \secref{sec:proc_conclusion} le tre modalità con cui un
606 programma viene terminato in maniera normale: la chiamata di \func{exit} (che
607 esegue le funzioni registrate per l'uscita e chiude gli stream), il ritorno
608 dalla funzione \func{main} (equivalente alla chiamata di \func{exit}), e la
609 chiamata ad \func{\_exit} (che passa direttamente alle operazioni di
610 terminazione del processo da parte del kernel).
612 Ma oltre alla conclusione normale abbiamo accennato che esistono anche delle
613 modalità di conclusione anomala; queste sono in sostanza due: il programma può
614 chiamare la funzione \func{abort} per invocare una chiusura anomala, o essere
615 terminato da un segnale. In realtà anche la prima modalità si riconduce alla
616 seconda, dato che \func{abort} si limita a generare il segnale
619 Qualunque sia la modalità di conclusione di un processo, il kernel esegue
620 comunque una serie di operazioni: chiude tutti i file aperti, rilascia la
621 memoria che stava usando, e così via; l'elenco completo delle operazioni
622 eseguite alla chiusura di un processo è il seguente:
624 \item tutti i descrittori dei file sono chiusi.
625 \item viene memorizzato lo stato di terminazione del processo.
626 \item ad ogni processo figlio viene assegnato un nuovo padre.
627 \item viene inviato il segnale \macro{SIGCHLD} al processo padre.
628 \item se il processo è un leader di sessione viene mandato un segnale di
629 \macro{SIGHUP} a tutti i processi in background e il terminale di controllo
631 \item se la conclusione di un processo rende orfano un \textit{process group}
632 ciascun membro del gruppo viene bloccato, e poi gli vengono inviati in
633 successione i segnali \macro{SIGHUP} e \macro{SIGCONT}.
635 ma al di la di queste operazioni è necessario poter disporre di un meccanismo
636 ulteriore che consenta di sapere come questa terminazione è avvenuta; dato che
637 in un sistema unix-like tutto viene gestito attraverso i processi il
638 meccanismo scelto consiste nel riportare lo stato di terminazione
639 (\textit{termination status}) di cui sopra al processo padre.
641 Nel caso di conclusione normale, lo stato di uscita del processo viene
642 caratterizzato tramite il valore del cosiddetto \textit{exit status}, cioè il
643 valore passato alle funzioni \func{exit} o \func{\_exit} (o dal valore di
644 ritorno per \func{main}). Ma se il processo viene concluso in maniera anomala
645 il programma non può specificare nessun \textit{exit status}, ed è il kernel
646 che deve generare autonomamente il \textit{termination status} per indicare le
647 ragioni della conclusione anomala.
649 Si noti la distinzione fra \textit{exit status} e \textit{termination status}:
650 quello che contraddistingue lo stato di chiusura del processo e viene
651 riportato attraverso le funzioni \func{wait} o \func{waitpid} (vedi
652 \secref{sec:proc_wait}) è sempre quest'ultimo; in caso di conclusione normale
653 il kernel usa il primo (nel codice eseguito da \func{\_exit}) per produrre il
656 La scelta di riportare al padre lo stato di terminazione dei figli, pur
657 essendo l'unica possibile, comporta comunque alcune complicazioni: infatti se
658 alla sua creazione è scontato che ogni nuovo processo ha un padre, non è detto
659 che sia così alla sua conclusione, dato che il padre potrebbe essere già
660 terminato (si potrebbe avere cioè quello che si chiama un processo
663 Questa complicazione viene superata facendo in modo che il processo figlio
664 venga \textsl{adottato} da \cmd{init}: come già accennato quando un processo
665 termina il kernel controlla se è il padre di altri processi in esecuzione: in
666 caso positivo allora il \acr{ppid} di tutti questi processi viene sostituito
667 con il \acr{pid} di \cmd{init} (e cioè con 1); in questo modo ogni processo
668 avrà sempre un padre (nel caso \textsl{adottivo}) cui riportare il suo stato
669 di terminazione. Come verifica di questo comportamento possiamo eseguire il
670 comando \cmd{forktest} imponendo a ciascun processo figlio due
671 secondi di attesa prima di uscire, il risultato è:
675 [piccardi@selidor sources]$ ./forktest -c2 3
676 Process 1972: forking 3 child
677 Spawned 1 child, pid 1973
678 Child 1 successfully executing
680 Spawned 2 child, pid 1974
681 Child 2 successfully executing
683 Child 3 successfully executing
684 Spawned 3 child, pid 1975
686 [piccardi@selidor sources]$ Child 3, parent 1, exiting
687 Child 2, parent 1, exiting
688 Child 1, parent 1, exiting
691 come si può notare in questo caso il processo padre si conclude prima dei
692 figli, tornando alla shell, che stampa il prompt sul terminale: circa due
693 secondi dopo viene stampato a video anche l'output dei tre figli che
694 terminano, e come si può notare in questo caso, al contrario di quanto visto
695 in precedenza, essi riportano 1 come \acr{ppid}.
697 Altrettanto rilevante è il caso in cui il figlio termina prima del padre,
698 perché non è detto che il padre possa ricevere immediatamente lo stato di
699 terminazione, quindi il kernel deve comunque conservare una certa quantità di
700 informazioni riguardo ai processi che sta terminando.
702 Questo viene fatto mantenendo attiva la voce nella tabella dei processi, e
703 memorizzando alcuni dati essenziali, come il \acr{pid}, i tempi di CPU usati
704 dal processo (vedi \secref{sec:sys_unix_time}) e lo stato di terminazione
705 \footnote{NdA verificare esattamente cosa c'è!}, mentre la memoria in uso ed i
706 file aperti vengono rilasciati immediatamente. I processi che sono terminati,
707 ma il cui stato di terminazione non è stato ancora ricevuto dal padre sono
708 chiamati \textit{zombie}, essi restano presenti nella tabella dei processi ed
709 in genere possono essere identificati dall'output di \cmd{ps} per la presenza
710 di una \cmd{Z} nella colonna che ne indica lo stato. Quando il padre
711 effettuerà la lettura dello stato di uscita anche questa informazione, non più
712 necessaria, verrà scartata e la terminazione potrà dirsi completamente
715 Possiamo utilizzare il nostro programma di prova per analizzare anche questa
716 condizione: lanciamo il comando \cmd{forktest} in background, indicando al
717 processo padre di aspettare 10 secondi prima di uscire; in questo caso, usando
718 \cmd{ps} sullo stesso terminale (prima dello scadere dei 10 secondi)
723 [piccardi@selidor sources]$ ps T
724 PID TTY STAT TIME COMMAND
725 419 pts/0 S 0:00 bash
726 568 pts/0 S 0:00 ./forktest -e10 3
727 569 pts/0 Z 0:00 [forktest <defunct>]
728 570 pts/0 Z 0:00 [forktest <defunct>]
729 571 pts/0 Z 0:00 [forktest <defunct>]
730 572 pts/0 R 0:00 ps T
733 e come si vede, dato che non si è fatto nulla per riceverne lo stato di
734 terminazione, i tre processi figli sono ancora presenti pur essendosi
735 conclusi, con lo stato di zombie e l'indicazione che sono stati terminati.
737 La possibilità di avere degli zombie deve essere tenuta sempre presente quando
738 si scrive un programma che deve essere mantenuto in esecuzione a lungo e
739 creare molti figli. In questo caso si deve sempre avere cura di far leggere
740 l'eventuale stato di uscita di tutti i figli (in genere questo si fa
741 attraverso un apposito \textit{signal handler}, che chiama la funzione
742 \func{wait}, vedi \secref{sec:sig_xxx} e \secref{sec:proc_wait}). Questa
743 operazione è necessaria perché anche se gli \textit{zombie} non consumano
744 risorse di memoria o processore, occupano comunque una voce nella tabella dei
745 processi, che a lungo andare potrebbe esaurirsi.
747 Si noti che quando un processo adottato da \cmd{init} termina, esso non
748 diviene uno \textit{zombie}; questo perché una delle funzioni di \cmd{init} è
749 appunto quella di chiamare la funzione \func{wait} per i processi cui fa da
750 padre, completandone la terminazione. Questo è quanto avviene anche quando,
751 come nel caso del precedente esempio con \cmd{forktest}, il padre termina con
752 dei figli in stato di zombie: alla sua terminazione infatti tutti i suoi figli
753 vengono ereditati (compresi gli zombie) verranno adottati da \cmd{init}, il
754 quale provvederà a completarne la terminazione.
756 Si tenga presente infine che siccome gli zombie sono processi già usciti, non
757 c'è modo di eliminarli con il comando \cmd{kill}; l'unica possibilità è quella
758 di terminare il processo che li ha generati, in modo che \cmd{init} possa
759 adottarli e provvedere a concludere la terminazione.
762 \subsection{Le funzioni \func{wait} e \func{waitpid}}
763 \label{sec:proc_wait}
765 Abbiamo già accennato come uno degli usi possibili delle capacità multitasking
766 di un sistema unix-like consista nella creazione di programmi di tipo server,
767 in cui un processo principale attende le richieste che vengono poi soddisfatte
768 creando una serie di processi figli. Si è già sottolineato al paragrafo
769 precedente come in questo caso diventi necessario gestire esplicitamente la
770 conclusione dei vari processi figli onde evitare di riempire di
771 \textit{zombie} la tabella dei processi; le funzioni deputate a questo compito
772 sono sostanzialmente due, \func{wait} e \func{waitpid}. La prima, il cui
775 \headdecl{sys/types.h}
776 \headdecl{sys/wait.h}
777 \funcdecl{pid\_t wait(int * status)}
779 Sospende il processo corrente finché un figlio non è uscito, o finché un
780 segnale termina il processo o chiama una funzione di gestione. Se un figlio è
781 già uscito la funzione ritorna immediatamente. Al ritorno lo stato di
782 termininazione del processo viene salvato nella variabile puntata da
783 \var{status} e tutte le informazioni relative al processo (vedi
784 \secref{sec:proc_termination}) vengono rilasciate.
786 La funzione restituisce il \acr{pid} del figlio in caso di successo e -1 in
787 caso di errore; \var{errno} può assumere i valori:
789 \item \macro{EINTR} la funzione è stata interrotta da un segnale.
793 è presente fin dalle prime versioni di unix; la funzione ritorna alla
794 conclusione del primo figlio (o immediatamente se un figlio è già uscito). Nel
795 caso un processo abbia più figli il valore di ritorno permette di identificare
796 qual'è quello che è uscito.
798 Questa funzione però ha il difetto di essere poco flessibile, in quanto
799 ritorna all'uscita di un figlio qualunque. Nelle occasioni in cui è necessario
800 attendere la conclusione di un processo specifico occorre predisporre un
801 meccanismo che tenga conto dei processi già terminati, e ripeta la chiamata
802 alla funzione nel caso il processo cercato sia ancora attivo.
804 Per questo motivo lo standard POSIX.1 ha introdotto la funzione \func{waitpid}
805 che effettua lo stesso servizio, ma dispone di una serie di funzionalità più
806 ampie, legate anche al controllo di sessione. Dato che è possibile ottenere
807 lo stesso comportamento di \func{wait} si consiglia di utilizzare sempre
808 questa funzione; il suo prototipo è:
810 \headdecl{sys/types.h}
811 \headdecl{sys/wait.h}
812 \funcdecl{pid\_t waitpid(pid\_t pid, int * status, int options)}
814 La funzione restituisce il \acr{pid} del processo che è uscito, 0 se è stata
815 specificata l'opzione \macro{WNOHANG} e il processo non è uscito e -1 per un
816 errore, nel qual caso \var{errno} assumerà i valori:
818 \item \macro{EINTR} se non è stata specificata l'opzione \macro{WNOHANG} e
819 la funzione è stata interrotta da un segnale.
820 \item \macro{ECHILD} il processo specificato da \var{pid} non esiste o non è
821 figlio del processo chiamante.
825 Le differenze principali fra le due funzioni sono che \func{wait} si blocca
826 sempre fino a che un processo figlio non termina, mentre \func{waitpid} ha la
827 possibilità si specificare un'opzione \macro{WNOHANG} che ne previene il
828 blocco; inoltre \func{waitpid} può specificare quale processo attendere sulla
829 base del valore specificato tramite la variabile \var{pid}, secondo lo
830 specchietto riportato in \ntab:
834 \begin{tabular}[c]{|c|p{10cm}|}
836 \textbf{Valore} & \textbf{Significato}\\
839 $<-1$& attende per un figlio il cui \textit{process group} è uguale al
840 valore assoluto di \var{pid}. \\
841 $-1$ & attende per un figlio qualsiasi, usata in questa maniera è
842 equivalente a \func{wait}.\\
843 $0$ & attende per un figlio il cui \textit{process group} è uguale a
844 quello del processo chiamante. \\
845 $>0$ & attende per un figlio il cui \acr{pid} è uguale al
846 valore di \var{pid}.\\
849 \caption{Significato dei valori del parametro \var{pid} della funzione
851 \label{tab:proc_waidpid_pid}
854 Il comportamento di \func{waitpid} può essere modificato passando delle
855 opportune opzioni tramite la variabile \var{option}. I valori possibili sono
856 il già citato \macro{WNOHANG}, che previene il blocco della funzione quando il
857 processo figlio non è terminato, e \macro{WUNTRACED} (usata per il controllo
858 di sessione, trattato in \capref{cha:session}) che fa ritornare la funzione
859 anche per i processi figli che sono bloccati ed il cui stato non è stato
860 ancora riportato al padre. Il valore dell'opzione deve essere specificato come
861 maschera binaria ottenuta con l'OR delle suddette costanti con zero.
863 La terminazione di un processo figlio è chiaramente un evento asincrono
864 rispetto all'esecuzione di un programma e può avvenire in un qualunque
865 momento, per questo motivo, come si è visto nella sezione precedente, una
866 delle azioni prese dal kernel alla conclusione di un processo è quella di
867 mandare un segnale di \macro{SIGCHLD} al padre. Questo segnale viene ignorato
868 di default, ma costituisce il meccanismo di comunicazione asincrona con cui il
869 kernel avverte un processo padre che uno dei suoi figli è terminato.
871 In genere in un programma non si vuole essere forzati ad attendere la
872 conclusione di un processo per proseguire, specie se tutto questo serve solo
873 per leggerne lo stato di chiusura (ed evitare la presenza di \textit{zombie}),
874 per questo la modalità più usata per chiamare queste funzioni è quella di
875 utilizzarle all'interno di un \textit{signal handler} (torneremo sui segnali e
876 su come gestire \macro{SIGCHLD} in \secref{sec:sig_sigwait_xxx}) nel qual
877 caso, dato che il segnale è generato dalla terminazione un figlio, avremo la
878 certezza che la chiamata a \func{wait} non si bloccherà.
883 \begin{tabular}[c]{|c|p{10cm}|}
885 \textbf{Macro} & \textbf{Descrizione}\\
888 \macro{WIFEXITED(s)} & Condizione vera (valore non nullo) per un processo
889 figlio che sia terminato normalmente. \\
890 \macro{WEXITSTATUS(s)} & Restituisce gli otto bit meno significativi dello
891 stato di uscita del processo (passato attraverso \func{\_exit}, \func{exit}
892 o come valore di ritorno di \func{main}). Può essere valutata solo se
893 \macro{WIFEXITED} ha restituito un valore non nullo.\\
894 \macro{WIFSIGNALED(s)} & Vera se il processo figlio è terminato
895 in maniera anomala a causa di un segnale che non è stato catturato (vedi
896 \secref{sec:sig_notification}).\\
897 \macro{WTERMSIG(s)} & restituisce il numero del segnale che ha causato
898 la terminazione anomala del processo. Può essere valutata solo se
899 \macro{WIFSIGNALED} ha restituito un valore non nullo.\\
900 \macro{WCOREDUMP(s)} & Vera se il processo terminato ha generato un
901 file si \textit{core dump}. Può essere valutata solo se
902 \macro{WIFSIGNALED} ha restituito un valore non nullo\footnote{questa
903 macro non è definita dallo standard POSIX.1, ma è presente come estensione
904 sia in Linux che in altri unix}.\\
905 \macro{WIFSTOPPED(s)} & Vera se il processo che ha causato il ritorno di
906 \func{waitpid} è bloccato. L'uso è possibile solo avendo specificato
907 l'opzione \macro{WUNTRACED}. \\
908 \macro{WSTOPSIG(s)} & restituisce il numero del segnale che ha bloccato
909 il processo, Può essere valutata solo se \macro{WIFSTOPPED} ha
910 restituito un valore non nullo. \\
913 \caption{Descrizione delle varie macro di preprocessore utilizzabili per
914 verificare lo stato di terminazione \var{s} di un processo.}
915 \label{tab:proc_status_macro}
918 Entrambe le funzioni restituiscono lo stato di terminazione del processo
919 tramite il puntatore \var{status} (se non interessa memorizzare lo stato si
920 può passare un puntatore nullo). Il valore restituito da entrambe le funzioni
921 dipende dall'implementazione, e tradizionalmente alcuni bit sono riservati per
922 memorizzare lo stato di uscita (in genere 8) altri per indicare il segnale che
923 ha causato la terminazione (in caso di conclusione anomala), uno per indicare
924 se è stato generato un core file, etc.\footnote{le definizioni esatte si
925 possono trovare in \file{<bits/waitstatus.h} ma questo file non deve mai
926 essere usato direttamente, esso viene incluso attraverso
927 \file{<sys/wait.h>}}. Lo standard POSIX.1 definisce una serie di macro di
928 preprocessore da usare per analizzare lo stato di uscita; esse sono definite
929 sempre in \file{<sys/wait.h>} ed elencate in \curtab\ (si tenga presente che
930 queste macro prendono come parametro la variabile di tipo \type{int} puntata
933 Si tenga conto che nel caso di conclusione anomala il valore restituito da
934 \macro{WTERMSIG} può essere controllato contro le costanti definite in
935 \file{signal.h}, e stampato usando le funzioni definite in
936 \secref{sec:sig_strsignal}.
939 \subsection{Le funzioni \func{wait3} e \func{wait4}}
940 \label{sec:proc_wait4}
942 Linux, seguendo una estensione di BSD, supporta altre due funzioni per la
943 lettura dello stato di terminazione di un processo, analoghe a \func{wait} e
944 \func{waitpid}, ma che prevedono un ulteriore parametro attraverso il quale il
945 kernel può restituire al processo padre ulteriori informazioni sulle risorse
946 usate dal processo terminato e dai vari figli. Queste funzioni, che diventano
947 accessibili definendo la costante \macro{\_USE\_BSD}, sono:
949 \headdecl{sys/times.h}
950 \headdecl{sys/types.h}
951 \headdecl{sys/wait.h}
952 \headdecl{sys/resource.h}
953 \funcdecl{pid\_t wait4(pid\_t pid, int * status, int options, struct rusage
955 La funzione è identica a \func{waitpid} sia per comportamento che per i
956 valori dei parametri, ma restituisce in \var{rusage} un sommario delle
957 risorse usate dal processo (per i dettagli vedi \secref{sec:xxx_limit_res})
958 \funcdecl{pid\_t wait3(int *status, int options, struct rusage *rusage)}
959 Prima versione, equivalente a \func{wait4(-1, \&status, opt, rusage)} è
960 ormai deprecata in favore di \func{wait4}.
963 la struttura \type{rusage} è definita in \file{sys/resource.h}, e viene
964 utilizzata anche dalla funzione \func{getrusage} per ottenere le risorse di
965 sistema usate dal processo; in Linux è definita come:
969 \begin{minipage}[c]{15cm}
970 \begin{lstlisting}[labelstep=0,frame=,indent=1cm]{}
972 struct timeval ru_utime; /* user time used */
973 struct timeval ru_stime; /* system time used */
974 long ru_maxrss; /* maximum resident set size */
975 long ru_ixrss; /* integral shared memory size */
976 long ru_idrss; /* integral unshared data size */
977 long ru_isrss; /* integral unshared stack size */
978 long ru_minflt; /* page reclaims */
979 long ru_majflt; /* page faults */
980 long ru_nswap; /* swaps */
981 long ru_inblock; /* block input operations */
982 long ru_oublock; /* block output operations */
983 long ru_msgsnd; /* messages sent */
984 long ru_msgrcv; /* messages received */
985 long ru_nsignals; ; /* signals received */
986 long ru_nvcsw; /* voluntary context switches */
987 long ru_nivcsw; /* involuntary context switches */
992 \caption{La struttura \var{rusage} per la lettura delle informazioni dei
993 delle risorse usate da un processo.}
994 \label{fig:proc_rusage_struct}
996 In genere includere esplicitamente \file{<sys/time.h>} non è più necessario,
997 ma aumenta la portabilità, e serve in caso si debba accedere ai campi di
998 \var{rusage} definiti come \type{struct timeval}. La struttura è ripresa dalla
999 versione 4.3 Reno di BSD, attualmente (con il kernel 2.4.x) i soli campi che
1000 sono mantenuti sono: \var{ru\_utime}, \var{ru\_stime}, \var{ru\_minflt},
1001 \var{ru\_majflt}, e \var{ru\_nswap}.
1004 \subsection{Le funzioni \func{exec}}
1005 \label{sec:proc_exec}
1007 Abbiamo già detto che una delle modalità principali con cui si utilizzano i
1008 processi in unix è quella di usarli per lanciare nuovi programmi: questo viene
1009 fatto attraverso una delle funzioni della famiglia \func{exec}. Quando un
1010 processo chiama una di queste funzioni esso viene completamente sostituito dal
1011 nuovo programma; il \acr{pid} del processo non cambia, dato che non viene
1012 creato un nuovo processo, la funzione semplicemente rimpiazza lo stack, o
1013 heap, i dati ed il testo del processo corrente con un nuovo programma letto da
1016 Ci sono sei diverse versioni di \func{exec} (per questo la si è chiamata
1017 famiglia di funzioni) che possono essere usate per questo compito, che in
1018 realtà (come mostrato in \figref{fig:proc_exec_relat}), costituiscono un
1019 front-end a \func{execve}. Il prototipo di quest'ultima è:
1020 \begin{prototype}{unistd.h}
1021 {int execve(const char * filename, char * const argv [], char * const envp[])}
1023 La funzione esegue il file o lo script indicato da \var{filename},
1024 passandogli la lista di argomenti indicata da \var{argv} e come ambiente la
1025 lista di stringhe indicata da \var{envp}; entrambe le liste devono essere
1026 terminate da un puntatore nullo. I vettori degli argomenti e dell'ambiente
1027 possono essere acceduti dal nuovo programma quando la sua funzione
1028 \func{main} è dichiarata nella forma \func{main(int argc, char *argv[], char
1031 La funzione ritorna -1 solo in caso di errore, nel qual caso caso la
1032 \var{errno} può assumere i valori:
1034 \item \macro{EACCES} il file non è eseguibile, oppure il filesystem è
1035 montato in \cmd{noexec}, oppure non è un file normale o un interprete.
1036 \item \macro{EPERM} il file ha i bit \acr{suid} o \acr{sgid} ma l'utente non
1037 è root o il filesystem è montato con \cmd{nosuid}, oppure
1038 \item \macro{ENOEXEC} il file è in un formato non eseguibile o non
1039 riconosciuto come tale, o compilato per un'altra architettura.
1040 \item \macro{ENOENT} il file o una delle librerie dinamiche o l'interprete
1041 necessari per eseguirlo non esistono.
1042 \item \macro{ETXTBSY} L'eseguibile è aperto in scrittura da uno o più
1044 \item \macro{EINVAL} L'eseguibile ELF ha più di un segmento
1045 \macro{PF\_INTERP}, cioè chiede di essere eseguito da più di un interprete.
1046 \item \macro{ELIBBAD} Un interprete ELF non è in un formato riconoscibile.
1048 ed inoltre anche \macro{EFAULT}, \macro{ENOMEM}, \macro{EIO},
1049 \macro{ENAMETOOLONG}, \macro{E2BIG}, \macro{ELOOP}, \macro{ENOTDIR},
1050 \macro{ENFILE}, \macro{EMFILE}.
1053 Le altre funzioni della famiglia servono per fornire all'utente una serie
1054 possibile di diverse interfacce per la creazione di un nuovo processo. I loro
1058 \funcdecl{int execl(const char *path, const char *arg, ...)}
1059 \funcdecl{int execv(const char *path, char *const argv[])}
1060 \funcdecl{int execle(const char *path, const char *arg, ..., char
1062 \funcdecl{int execlp(const char *file, const char *arg, ...)}
1063 \funcdecl{int execvp(const char *file, char *const argv[])}
1065 Sostituiscono l'immagine corrente del processo con quella indicata nel primo
1066 argomento. I parametri successivi consentono di specificare gli argomenti a
1067 linea di comando e l'ambiente ricevuti dal nuovo processo.
1069 Queste funzioni ritornano solo in caso di errore, restituendo -1; nel qual
1070 caso \var{errno} andrà ad assumere i valori visti in precedenza per
1074 Per capire meglio le differenze fra le funzioni della famiglia si può fare
1075 riferimento allo specchietto riportato in \ntab. La prima differenza riguarda
1076 le modalità di passaggio dei parametri che poi andranno a costituire gli
1077 argomenti a linea di comando (cioè i valori di \var{argv} e \var{argc} visti
1078 dalla funzione \func{main} del programma chiamato).
1080 Queste modalità sono due e sono riassunte dagli mnenonici \func{v} e \func{l}
1081 che stanno rispettivamente per \textit{vector} e \textit{list}. Nel primo caso
1082 gli argomenti sono passati tramite il vettore di puntatori \var{argv[]} a
1083 stringhe terminate con zero che costituiranno gli argomenti a riga di comando,
1084 questo vettore \emph{deve} essere terminato da un puntatore nullo.
1086 Nel secondo caso le stringhe degli argomenti sono passate alla funzione come
1087 lista di puntatori, nella forma:
1088 \begin{lstlisting}[labelstep=0,frame=,indent=1cm]{}
1089 char * arg0, char * arg1, ..., char * argn, NULL
1091 che deve essere terminata da un puntatore nullo. In entrambi i casi vale la
1092 convenzione che il primo argomento (\var{arg0} o \var{argv[0]}) viene usato
1093 per indicare il nome del file che contiene il programma che verrà eseguito.
1098 \begin{tabular}[c]{|l|c|c|c||c|c|c|}
1100 \multicolumn{1}{|c|}{\textbf{Caratteristiche}} &
1101 \multicolumn{6}{|c|}{\textbf{Funzioni}} \\
1103 &\func{execl\ }&\func{execlp}&\func{execle}
1104 &\func{execv\ }& \func{execvp}& \func{execve} \\
1107 argomenti a lista &$\bullet$&$\bullet$&$\bullet$&&& \\
1108 argomenti a vettore &&&&$\bullet$&$\bullet$&$\bullet$\\
1110 filename completo &&$\bullet$&&&$\bullet$& \\
1111 ricerca su \var{PATH}&$\bullet$&&$\bullet$&$\bullet$&&$\bullet$ \\
1113 ambiente a vettore &&&$\bullet$&&&$\bullet$ \\
1114 uso di \var{environ} &$\bullet$&$\bullet$&&$\bullet$&$\bullet$& \\
1117 \caption{Confronto delle caratteristiche delle varie funzioni della
1118 famiglia \func{exec}.}
1119 \label{tab:proc_exec_scheme}
1122 La seconda differenza fra le funzioni riguarda le modalità con cui si
1123 specifica il programma che si vuole eseguire. Con lo mnemonico \func{p} si
1124 indicano le due funzioni che replicano il comportamento della shell nello
1125 specificare il comando da eseguire; quando il parametro \var{file} non
1126 contiene una \file{/} esso viene considerato come un nome di programma, e
1127 viene eseguita automaticamente una ricerca fra i file presenti nella lista di
1128 directory specificate dalla variabile di ambiente \var{PATH}. Il file che
1129 viene posto in esecuzione è il primo che viene trovato. Se si ha un errore di
1130 permessi negati (cioè l'esecuzione della sottostante \func{execve} ritorna un
1131 \macro{EACCESS}), la ricerca viene proseguita nelle eventuali ulteriori
1132 directory indicate nel \var{PATH}, solo se non viene trovato nessun altro file
1133 viene finalmente restituito \macro{EACCESS}.
1135 Le altre quattro funzioni si limitano invece a cercare di eseguire il file
1136 indicato dal parametro \var{path}, che viene interpretato come il
1137 \textit{pathname} del programma.
1141 \includegraphics[width=13cm]{img/exec_rel}
1142 \caption{La interrelazione fra le sei funzioni della famiglia \func{exec}}
1143 \label{fig:proc_exec_relat}
1146 La terza differenza è come viene passata la lista delle variabili di ambiente.
1147 Con lo mnemonico \func{e} vengono indicate quelle funzioni che necessitano di
1148 un vettore di parametri \var{envp[]} analogo a quello usato per gli argomenti
1149 a riga di comando (terminato quindi da un \macro{NULL}), le altre usano il
1150 valore della variabile \var{environ} (vedi \secref{sec:proc_environ}) del
1151 processo di partenza per costruire l'ambiente.
1153 Oltre a mantenere lo stesso \acr{pid}, il nuovo programma fatto partire da
1154 \func{exec} assume anche una serie di altre proprietà del processo chiamante;
1155 la lista completa è la seguente:
1157 \item il \textit{process ID} (\acr{pid}) ed il \textit{parent process ID}
1159 \item il \textit{real user ID} ed il \textit{real group ID} (vedi
1160 \secref{sec:proc_user_group}).
1161 \item i \textit{supplementary group ID} (vedi \secref{sec:proc_user_group}).
1162 \item il \textit{session ID} ed il \textit{process group ID} (vedi
1163 \secref{sec:sess_xxx}).
1164 \item il terminale di controllo (vedi \secref{sec:sess_xxx}).
1165 \item il tempo restante ad un allarme.
1166 \item la directory radice e la directory di lavoro corrente (vedi
1167 \secref{sec:file_work_dir}).
1168 \item la maschera di creazione dei file (\var{umask}, vedi
1169 \secref{sec:file_umask}) ed i \textit{lock} sui file (vedi
1170 \secref{sec:file_locking}).
1171 \item i segnali sospesi (\textit{pending}) e la maschera dei segnali (si veda
1172 \secref{sec:sig_xxx}).
1173 \item i limiti sulle risorse (vedi \secref{sec:sys_limits})..
1174 \item i valori delle variabili \var{tms\_utime}, \var{tms\_stime},
1175 \var{tms\_cutime}, \var{tms\_ustime} (vedi \secref{sec:xxx_xxx}).
1178 Oltre a questo i segnali che sono stati settati per essere ignorati nel
1179 processo chiamante mantengono lo stesso settaggio pure nel nuovo programma,
1180 tutti gli altri segnali vengono settati alla loro azione di default. Un caso
1181 speciale è il segnale \macro{SIGCHLD} che, quando settato a \macro{SIG\_IGN},
1182 può anche non essere resettato a \macro{SIG\_DFL} (si veda
1183 \secref{sec:sig_xxx}).
1185 La gestione dei file aperti dipende dal valore del flag di
1186 \textit{close-on-exec} per ciascun file descriptor (si veda
1187 \secref{sec:file_fcntl}); i file per cui è settato vengono chiusi, tutti gli
1188 altri file restano aperti. Questo significa che il comportamento di default è
1189 che i file restano aperti attraverso una \func{exec}, a meno di una chiamata
1190 esplicita a \func{fcntl} che setti il suddetto flag.
1192 Per le directory lo standard POSIX.1 richiede che esse vengano chiuse
1193 attraverso una \func{exec}, in genere questo è fatto dalla funzione
1194 \func{opendir} che effettua da sola il settaggio del flag di
1195 \textit{close-on-exec} sulle directory che apre, in maniera trasparente
1198 Abbiamo detto che il \textit{real user ID} ed il \textit{real group ID}
1199 restano gli stessi all'esecuzione di \func{exec}; lo stesso vale per
1200 l'\textit{effective user ID} ed l'\textit{effective group ID}, tranne il caso
1201 in cui il file che si va ad eseguire ha o il \acr{suid} bit o lo \acr{sgid}
1202 bit settato, nel qual caso \textit{effective user ID} e \textit{effective
1203 group ID} vengono settati rispettivamente all'utente o al gruppo cui il file
1204 appartiene (per i dettagli vedi \secref{sec:proc_perms}).
1206 Se il file da eseguire è in formato \emph{a.out} e necessita di librerie
1207 condivise, viene lanciato il \textit{linker} dinamico \cmd{ld.so} prima del
1208 programma per caricare le librerie necessarie ed effettuare il link
1209 dell'eseguibile. Se il programma è in formato ELF per caricare le librerie
1210 dinamiche viene usato l'interprete indicato nel segmento \macro{PT\_INTERP},
1211 in genere questo è \file{/lib/ld-linux.so.1} per programmi linkati con le
1212 \emph{libc5}, e \file{/lib/ld-linux.so.2} per programmi linkati con le
1213 \emph{glibc}. Infine nel caso il file sia uno script esso deve iniziare con
1214 una linea nella forma \cmd{\#!/path/to/interpreter} dove l'interprete indicato
1215 deve esse un valido programma (binario, non un altro script) che verrà
1216 chiamato come se si fosse eseguito il comando \cmd{interpreter [arg]
1219 Con la famiglia delle \func{exec} si chiude il novero delle funzioni su cui è
1220 basata la gestione dei processi in unix: con \func{fork} si crea un nuovo
1221 processo, con \func{exec} si avvia un nuovo programma, con \func{exit} e
1222 \func{wait} si effettua e verifica la conclusione dei programmi. Tutte le
1223 altre funzioni sono ausiliarie e servono la lettura e il settaggio dei vari
1224 parametri connessi ai processi.
1228 \section{Il controllo di accesso}
1229 \label{sec:proc_perms}
1231 In questa sezione esamineremo le problematiche relative al controllo di
1232 accesso dal punto di vista del processi; vedremo quali sono gli identificatori
1233 usati, come questi possono essere modificati nella creazione e nel lancio di
1234 nuovi processi, e le varie funzioni per la loro manipolazione diretta e tutte
1235 le problematiche connesse alla gestione accorta dei privilegi.
1238 \subsection{Utente e gruppo di un processo}
1239 \label{sec:proc_user_group}
1241 Come accennato in \secref{sec:intro_multiuser} il modello base\footnote{in
1242 realtà già esistono estensioni di questo modello base, che lo rendono più
1243 flessibile e controllabile, come le \textit{capabilities}, le ACL per i file
1244 o il \textit{Mandatory Access Control} di SELinux} di sicurezza di un
1245 sistema unix-like è fondato sui concetti di utente e gruppo, e sulla
1246 separazione fra l'amministratore (\textsl{root}, detto spesso anche
1247 \textit{superuser}) che non è sottoposto a restrizioni, ed il resto degli
1248 utenti, per i quali invece vengono effettuati i vari controlli di accesso.
1250 %Benché il sistema sia piuttosto semplice (è basato su un solo livello di
1251 % separazione) il sistema permette una
1252 %notevole flessibilità,
1254 Abbiamo già accennato come il sistema associ ad ogni utente e gruppo due
1255 identificatori univoci, lo \acr{uid} e il \acr{gid}; questi servono al kernel
1256 per identificare uno specifico utente o un gruppo di utenti, per poi poter
1257 controllare che essi siano autorizzati a compiere le operazioni richieste. Ad
1258 esempio in \secref{sec:file_access_control} vedremo come ad ogni file vengano
1259 associati un utente ed un gruppo (i suoi \textsl{proprietari}, indicati
1260 appunto tramite un \acr{uid} ed un \acr{gid}) che vengono controllati dal
1261 kernel nella gestione dei permessi di accesso.
1263 Dato che tutte le operazioni del sistema vengono compiute dai processi, è
1264 evidente che per poter implementare un controllo sulle operazioni occorre
1265 anche poter identificare chi è che ha lanciato un certo processo, e pertanto
1266 anche a ciascuno di essi è associato un utente e a un gruppo.
1268 Un semplice controllo di una corrispondenza fra identificativi però non
1269 garantisce però sufficiente flessibilità per tutti quei casi in cui è
1270 necessario poter disporre di privilegi diversi, o dover impersonare un altro
1271 utente per un limitato insieme di operazioni. Per questo motivo in generale
1272 tutti gli unix prevedono che i processi abbiano almeno due gruppi di
1273 identificatori, chiamati rispettivamente \textit{real} ed \textit{effective}.
1278 \begin{tabular}[c]{|c|l|p{6.5cm}|}
1280 \textbf{Suffisso} & \textbf{Significato} & \textbf{Utilizzo} \\
1283 \acr{uid} & \textit{real user id} & indica l'utente che ha lanciato
1285 \acr{gid} & \textit{real group id} & indica il gruppo dell'utente
1286 che ha lanciato il programma \\
1287 \acr{euid} & \textit{effective user id} & indica l'utente usato
1288 dal programma nel controllo di accesso \\
1289 \acr{egid} & \textit{effective group id} & indica il gruppo
1290 usato dal programma nel controllo di accesso \\
1291 -- & \textit{supplementary group id} & indica i gruppi cui
1292 l'utente appartiene \\
1293 -- & \textit{saved user id} & copia dell'\acr{euid} iniziale\\
1294 -- & \textit{saved group id} & copia dell'\acr{egid} iniziale \\
1295 \acr{fsuid} & \textit{filesystem user id} & indica l'utente effettivo per
1297 \acr{fsgid} & \textit{filesystem group id} & indica il gruppo effettivo
1298 per il filesystem \\
1301 \caption{Identificatori di utente e gruppo associati a ciascun processo con
1302 indicazione dei suffissi usate dalle varie funzioni di manipolazione.}
1303 \label{tab:proc_uid_gid}
1306 Al primo gruppo appartengono il \textit{real user ID} e il \textit{real group
1307 ID}: questi vengono settati al login ai valori corrispondenti all'utente con
1308 cui si accede al sistema (e relativo gruppo di default). Servono per
1309 l'identificazione dell'utente e normalmente non vengono mai cambiati. In
1310 realtà vedremo (in \secref{sec:proc_setuid}) che è possibile modificarli, ma
1311 solo ad un processo che abbia i privilegi di amministratore; questa
1312 possibilità è usata ad esempio da \cmd{login} che una volta completata la
1313 procedura di autenticazione lancia una shell per la quale setta questi
1314 identificatori ai valori corrispondenti all'utente che entra nel sistema.
1316 Al secondo gruppo appartengono l'\textit{effective user ID} e
1317 l'\textit{effective group ID} (a cui si aggiungono gli eventuali
1318 \textit{supplementary group id} dei gruppi dei quale l'utente fa parte).
1319 Questi sono invece gli identificatori usati nella verifiche dei permessi del
1320 processo e per il controllo di accesso ai file (argomento affrontato in
1321 dettaglio in \secref{sec:file_perm_overview}).
1323 Questi identificatori normalmente sono identici ai corrispondenti del gruppo
1324 \textsl{reale} tranne nel caso in cui, come visto in \secref{sec:proc_exec},
1325 il programma che si è posto in esecuzione abbia i bit \acr{suid} o \acr{sgid}
1326 settati (il significato di questi bit è affrontato in dettaglio in
1327 \secref{sec:file_suid_sgid}). In questo caso essi saranno settati all'utente e
1328 al gruppo proprietari del file; questo consente, per programmi in cui ci sia
1329 necessità, di dare a qualunque utente normale privilegi o permessi di
1330 un'altro (o dell'amministratore).
1332 Come nel caso del \acr{pid} e del \acr{ppid} tutti questi identificatori
1333 possono essere letti dal processo attraverso delle opportune funzioni, i cui
1334 prototipi sono i seguenti:
1337 \headdecl{sys/types.h}
1338 \funcdecl{uid\_t getuid(void)} restituisce il \textit{real user ID} del
1341 \funcdecl{uid\_t geteuid(void)} restituisce l'\textit{effective user ID} del
1344 \funcdecl{gid\_t getgid(void)} restituisce il \textit{real group ID} del
1347 \funcdecl{gid\_t getegid(void)} restituisce l'\textit{effective group ID} del
1350 \noindent Queste funzioni non riportano condizioni di errore.
1353 In generale l'uso di privilegi superiori deve essere limitato il più
1354 possibile, per evitare abusi e problemi di sicurezza, per questo occorre anche
1355 un meccanismo che consenta ad un programma di rilasciare gli eventuali
1356 maggiori privilegi necessari, una volta che si siano effettuate le operazioni
1357 per i quali erano richiesti, e a poterli eventualmente recuperare in caso
1360 Questo in Linux viene fatto usando altri due gruppi di identificatori, il
1361 \textit{saved} ed il \textit{filesystem}, analoghi ai precedenti. Il primo
1362 gruppo è lo stesso usato in SVr4, e previsto dallo standard POSIX quando è
1363 definita la costante \macro{\_POSIX\_SAVED\_IDS}\footnote{in caso si abbia a
1364 cuore la portabilità del programma su altri unix è buona norma controllare
1365 sempre la disponibilità di queste funzioni controllando se questa costante è
1366 definita}, il secondo gruppo è specifico di Linux e viene usato per
1367 migliorare la sicurezza con NFS.
1369 Il \textit{saved user id} e il \textit{saved group id} sono copie
1370 dell'\textit{effective user id} e dell'\textit{effective group id} del
1371 processo padre, e vengono settati dalla funzione \func{exec} all'avvio del
1372 processo, come copie dell'\textit{effective user id} e dell'\textit{effective
1373 group id} dopo che questo sono stati settati tenendo conto di eventuali
1374 \acr{suid} o \acr{sgid}. Essi quindi consentono di tenere traccia di quale
1375 fossero utente e gruppo effettivi all'inizio dell'esecuzione di un nuovo
1378 Il \textit{filesystem user id} e il \textit{filesystem group id} sono una
1379 estensione introdotta in Linux per rendere più sicuro l'uso di NFS (torneremo
1380 sull'argomento in \secref{sec:proc_setfsuid}). Essi sono una replica dei
1381 corrispondenti \textit{effective id}, ai quali si sostituiscono per tutte le
1382 operazioni di verifica dei permessi relativi ai file (trattate in
1383 \secref{sec:file_perm_overview}). Ogni cambiamento effettuato sugli
1384 \textit{effective id} viene automaticamente riportato su di essi, per cui in
1385 condizioni normali se ne può tranquillamente ignorare l'esistenza, in quanto
1386 saranno del tutto equivalenti ai precedenti.
1388 Uno specchietto riassuntivo, contenente l'elenco completo degli identificatori
1389 di utente e gruppo associati dal kernel ad ogni processo, è riportato in
1390 \tabref{tab:proc_uid_gid}.
1393 \subsection{Le funzioni \func{setuid} e \func{setgid}}
1394 \label{sec:proc_setuid}
1396 Le due funzioni che vengono usate per cambiare identità (cioè utente e gruppo
1397 di appartenenza) ad un processo sono rispettivamente \func{setuid} e
1398 \func{setgid}; come accennato in \secref{sec:proc_user_group} in Linux esse
1399 seguono la semantica POSIX che prevede l'esistenza di \textit{saved user id} e
1400 \textit{saved group id}; i loro prototipi sono:
1403 \headdecl{sys/types.h}
1405 \funcdecl{int setuid(uid\_t uid)} setta l'\textit{user ID} del processo
1408 \funcdecl{int setgid(gid\_t gid)} setta il \textit{group ID} del processo
1411 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1412 l'unico errore possibile è \macro{EPERM}.
1415 Il funzionamento di queste due funzioni è analogo, per cui considereremo solo
1416 la prima; la seconda si comporta esattamente allo stesso modo facendo
1417 riferimento al \textit{group id} invece che all'\textit{user id}. Gli
1418 eventuali \textit{supplementary group id} non vengono modificati da nessuna
1419 delle funzioni che tratteremo in questa sezione.
1422 L'effetto della chiamata è diverso a seconda dei privilegi del processo; se
1423 l'\textit{effective user id} è zero (cioè è quello dell'amministratore di
1424 sistema) allora tutti gli identificatori (\textit{real}, \textit{effective}
1425 e \textit{saved}) vengono settati al valore specificato da \var{uid},
1426 altrimenti viene settato solo l'\textit{effective user id}, e soltanto se il
1427 valore specificato corrisponde o al \textit{real user id} o al \textit{saved
1428 user id}. Negli altri casi viene segnalato un errore (con \macro{EPERM}).
1430 Come accennato l'uso principale di queste funzioni è quello di poter
1431 consentire ad un programma con i bit \acr{suid} o \acr{sgid} settati di
1432 riportare l'\textit{effective user id} a quello dell'utente che ha lanciato il
1433 programma, effettuare il lavoro che non necessita di privilegi aggiuntivi, ed
1434 eventualmente tornare indietro.
1436 Come esempio per chiarire dell'uso di queste funzioni prediamo quello con cui
1437 viene gestito l'accesso al file \file{/var/log/utmp}. In questo file viene
1438 registrato chi sta usando il sistema al momento corrente; chiaramente non può
1439 essere lasciato aperto in scrittura a qualunque utente, che potrebbe
1440 falsificare la registrazione. Per questo motivo questo file (e l'analogo
1441 \file{/var/log/wtmp} su cui vengono registrati login e logout) appartengono ad
1442 un gruppo dedicato (\acr{utmp}) ed i programmi che devono accedervi (ad
1443 esempio tutti i programmi di terminale in X, o il programma \cmd{screen}
1444 che crea terminali multipli su una console) appartengono a questo gruppo ed
1445 hanno il bit \acr{sgid} settato.
1447 Quando uno di questi programmi (ad esempio \cmd{xterm}) viene lanciato la
1448 situazione degli identificatori è la seguente:
1451 \textit{real group id} &=& \textrm{\acr{gid} (del chiamante)} \\
1452 \textit{effective group id} &=& \textrm{\acr{utmp}} \\
1453 \textit{saved group id} &=& \textrm{\acr{utmp}}
1455 in questo modo, dato che l'\textit{effective group id} è quello giusto, il
1456 programma può accedere a \file{/var/log/utmp} in scrittura ed aggiornarlo, a
1457 questo punto il programma può eseguire una \func{setgid(getgid())} per settare
1458 l'\textit{effective group id} a quello dell'utente (e dato che il \textit{real
1459 group id} corrisponde la funzione avrà successo), in questo modo non sarà
1460 possibile lanciare dal terminale programmi che modificano detto file, in tal
1461 caso infatti la situazione degli identificatori sarebbe:
1464 \textit{real group id} &=& \textrm{\acr{gid} (invariato)} \\
1465 \textit{effective group id} &=& \textrm{\acr{gid}} \\
1466 \textit{saved group id} &=& \textrm{\acr{utmp} (invariato)}
1468 e ogni processo lanciato dal terminale avrebbe comunque \acr{gid} come
1469 \textit{effective group id}. All'uscita dal terminale, per poter di nuovo
1470 aggiornare lo stato di \file{/var/log/utmp} il programma eseguirà una
1471 \func{setgid(utmp)} (dove \var{utmp} è il valore numerico associato al gruppo
1472 \acr{utmp}, ottenuto ad esempio con una \func{getegid}), dato che in questo
1473 caso il valore richiesto corrisponde al \textit{saved group id} la funzione
1474 avrà successo e riporterà la situazione a:
1477 \textit{real group id} &=& \textrm{\acr{gid} (invariato)} \\
1478 \textit{effective group id} &=& \textrm{\acr{utmp}} \\
1479 \textit{saved group id} &=& \textrm{\acr{utmp} (invariato)}
1481 consentendo l'accesso a \file{/var/log/utmp}.
1483 Occorre però tenere conto che tutto questo non è possibile con un processo con
1484 i privilegi di root, in tal caso infatti l'esecuzione una \func{setuid}
1485 comporta il cambiamento di tutti gli identificatori associati al processo,
1486 rendendo impossibile riguadagnare i privilegi di amministratore. Questo
1487 comportamento è corretto per l'uso che ne fa \cmd{login} una volta che crea
1488 una nuova shell per l'utente; ma quando si vuole cambiare soltanto
1489 l'\textit{effective user id} del processo per cedere i privilegi occorre
1490 ricorrere ad altre funzioni (si veda ad esempio \secref{sec:proc_seteuid}).
1493 \subsection{Le funzioni \func{setreuid} e \func{setresuid}}
1494 \label{sec:proc_setreuid}
1496 Queste due funzioni derivano da BSD che non supportando\footnote{almeno fino
1497 alla versione 4.3+BSD TODO, verificare e aggiornare la nota} i \textit{saved
1498 id} le usava per poter scambiare fra di loro effective e real id. I
1502 \headdecl{sys/types.h}
1504 \funcdecl{int setreuid(uid\_t ruid, uid\_t euid)} setta il \textit{real user
1505 ID} e l'\textit{effective user ID} del processo corrente ai valori
1506 specificati da \var{ruid} e \var{euid}.
1508 \funcdecl{int setregid(gid\_t rgid, gid\_t egid)} setta il \textit{real group
1509 ID} e l'\textit{effective group ID} del processo corrente ai valori
1510 specificati da \var{rgid} e \var{egid}.
1512 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1513 l'unico errore possibile è \macro{EPERM}.
1516 I processi non privilegiati possono settare i \textit{real id} soltanto ai
1517 valori dei loro \textit{effective id} o \textit{real id} e gli
1518 \textit{effective id} ai valori dei loro \textit{real id}, \textit{effective
1519 id} o \textit{saved id}; valori diversi comportano il fallimento della
1520 chiamata; l'amministratore invece può specificare un valore qualunque.
1521 Specificando un valore di -1 l'identificatore corrispondente viene lasciato
1524 Con queste funzione si possono scambiare fra loro \textit{real id} e
1525 \textit{effective id}, e pertanto è possibile implementare un comportamento
1526 simile a quello visto in precedenza per \func{setgid}, cedendo i privilegi con
1527 un primo scambio, e recuperandoli, eseguito il lavoro non privilegiato, con un
1530 In questo caso però occorre porre molta attenzione quando si creano nuovi
1531 processi nella fase intermedia in cui si sono scambiati gli identificatori, in
1532 questo caso infatti essi avranno un \textit{real id} privilegiato, che dovrà
1533 essere esplicitamente eliminato prima di porre in esecuzione un nuovo
1534 programma (occorrerà cioè eseguire un'altra chiamata dopo la \func{fork}, e
1535 prima della \func{exec} per uniformare i \textit{real id} agli
1536 \textit{effective id}) in caso contrario quest'ultimo potrebbe a sua volta
1537 effettuare uno scambio e riottenere privilegi non previsti.
1539 Lo stesso problema di propagazione dei privilegi ad eventuali processi figli
1540 si porrebbe per i \textit{saved id}. Queste funzioni derivano da
1541 un'implementazione che non ne prevede la presenza, e quindi non è possibile
1542 usarle per correggere la situazione come nel caso precedente, per questo
1543 motivo tutte le volte che uno degli identificatori viene modificato ad un
1544 valore diverso dal precedente \textit{real id}, il \textit{saved id} viene
1545 sempre settato al valore dell'\textit{effective id}.
1548 \subsection{Le funzioni \func{setresuid} e \func{setresgid}}
1549 \label{sec:proc_setresuid}
1551 Queste due funzioni sono una estensione introdotta in Linux dal kernel 2.1.44,
1552 e permettono un completo controllo su tutti gli identificatori (\textit{real},
1553 \textit{effective} e \textit{saved}), i prototipi sono:
1556 \headdecl{sys/types.h}
1558 \funcdecl{int setresuid(uid\_t ruid, uid\_t euid, uid\_t suid)} setta il
1559 \textit{real user ID}, l'\textit{effective user ID} e il \textit{saved user
1560 ID} del processo corrente ai valori specificati rispettivamente da
1561 \var{ruid}, \var{euid} e \var{suid}.
1563 \funcdecl{int setresgid(gid\_t rgid, gid\_t egid, gid\_t sgid)} setta il
1564 \textit{real group ID}, l'\textit{effective group ID} e il \textit{saved group
1565 ID} del processo corrente ai valori specificati rispettivamente da
1566 \var{rgid}, \var{egid} e \var{sgid}.
1568 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1569 l'unico errore possibile è \macro{EPERM}.
1572 I processi non privilegiati possono cambiare uno qualunque degli
1573 identificatori usando uno qualunque dei valori correnti di \textit{real id},
1574 \textit{effective id} o \textit{saved id}, l'amministratore può specificare i
1575 valori che vuole; un valore di -1 per un qualunque parametro lascia inalterato
1576 l'identificatore corrispondente.
1580 \subsection{Le funzioni \func{seteuid} e \func{setegid}}
1581 \label{sec:proc_seteuid}
1583 Queste funzioni sono un'estensione allo standard POSIX.1 (ma sono comunque
1584 supportate dalla maggior parte degli unix) e usate per cambiare gli
1585 \textit{effective id}; i loro prototipi sono:
1588 \headdecl{sys/types.h}
1590 \funcdecl{int seteuid(uid\_t uid)} setta l'\textit{effective user ID} del
1591 processo corrente a \var{uid}.
1593 \funcdecl{int setegid(gid\_t gid)} setta l'\textit{effective group ID} del
1594 processo corrente a \var{gid}.
1596 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1597 l'unico errore possibile è \macro{EPERM}.
1600 Gli utenti normali possono settare l'\textit{effective id} solo al valore del
1601 \textit{real id} o del \textit{saved id}, l'amministratore può specificare
1602 qualunque valore. Queste funzioni sono usate per permettere a root di settare
1603 solo l'\textit{effective id}, dato che l'uso normale di \func{setuid} comporta
1604 il settaggio di tutti gli identificatori.
1607 \subsection{Le funzioni \func{setfsuid} e \func{setfsgid}}
1608 \label{sec:proc_setfsuid}
1610 Queste funzioni sono usate per settare gli identificatori usati da Linux per
1611 il controllo dell'accesso ai file. Come già accennato in
1612 \secref{sec:proc_user_group} in Linux è definito questo ulteriore gruppo di
1613 identificatori, che di norma sono assolutamente equivalenti agli
1614 \textit{effective id}, dato che ogni cambiamento di questi ultimi viene
1615 immediatamente riportato sui \textit{filesystem id}.
1617 C'è un solo caso in cui si ha necessità di introdurre una differenza fra
1618 \textit{effective id} e \textit{filesystem id}, ed è per ovviare ad un
1619 problema di sicurezza che si presenta quando si deve implementare un server
1620 NFS. Il server NFS infatti deve poter cambiare l'identificatore con cui accede
1621 ai file per assumere l'identità del singolo utente remoto, ma se questo viene
1622 fatto cambiando l'\textit{effective id} o il \textit{real id} il server si
1623 espone alla ricezione di eventuali segnali ostili da parte dell'utente di cui
1624 ha temporaneamente assunto l'identità. Cambiando solo il \textit{filesystem
1625 id} si ottengono i privilegi necessari per accedere ai file, mantenendo
1626 quelli originari per quanto riguarda tutti gli altri controlli di accesso.
1628 Le due funzioni usate per cambiare questi identificatori sono \func{setfsuid}
1629 e \func{setfsgid}, ovviamente sono specifiche di Linux e non devono essere
1630 usate se si intendono scrivere programmi portabili; i loro prototipi sono:
1632 \headdecl{sys/fsuid.h}
1634 \funcdecl{int setfsuid(uid\_t fsuid)} setta il \textit{filesystem user ID} del
1635 processo corrente a \var{fsuid}.
1637 \funcdecl{int setfsgid(gid\_t fsgid)} setta l'\textit{filesystem group ID} del
1638 processo corrente a \var{fsgid}.
1640 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1641 l'unico errore possibile è \macro{EPERM}.
1644 Queste funzioni hanno successo solo se il processo chiamante ha i privilegi di
1645 amministratore o, per gli altri utenti, se il valore specificato coincide con
1646 uno dei \textit{real}, \textit{effective} o \textit{saved id}.
1649 \section{Problematiche di programmazione multitasking}
1650 \label{sec:proc_multi_prog}
1652 Benché i processi siano strutturati in modo da apparire il più possibile come
1653 indipendenti l'uno dall'altro, nella programmazione in un sistema multiutente
1654 occorre tenere conto di tutta una serie di problematiche che normalmente non
1655 esistono quando si ha a che fare con un sistema in cui viene eseguito un solo
1656 programma alla volta.
1658 Pur non essendo tutto questo direttamente legato alla modalità specifica in
1659 cui il multitasking è implementato in un sistema unix-like, né al solo
1660 concetto di multitasking (le stesse problematiche si presentano ad esempio
1661 nella gestione degli interrupt hardware), in questa sezione conclusiva del
1662 capitolo in cui abbiamo affrontato la gestione dei processi, introdurremo
1663 sinteticamente queste problematiche, che ritroveremo a più riprese in capitoli
1664 successivi, con una breve definizione della terminologia e delle loro
1665 caratteristiche di fondo.
1668 \subsection{Le operazioni atomiche}
1669 \label{sec:proc_atom_oper}
1671 La nozione di \textsl{operazione atomica} deriva dal significato greco della
1672 parola atomo, cioè indivisibile; si dice infatti che una operazione è atomica
1673 quando si ha la certezza che, qualora essa venga effettuata, tutti i passaggi
1674 che devono essere compiuti per realizzarla verranno eseguiti senza possibilità
1675 di interruzione in una fase intermedia.
1677 In un ambiente multitasking il concetto è essenziale, dato che un processo può
1678 essere interrotto in qualunque momento dal kernel che mette in esecuzione un
1679 altro processo o dalla ricezione di un segnale; occorre pertanto essere
1680 accorti nei confronti delle possibili \textit{race condition} (vedi
1681 \secref{sec:proc_race_cond}) derivanti da operazioni interrotte in una fase in
1682 cui non erano ancora state completate.
1684 Nel caso dell'interazione fra processi la situazione è molto più semplice, ed
1685 occorre preoccuparsi della atomicità delle operazioni solo quando si ha a che
1686 fare con meccanismi di intercomunicazione (che esamineremo in dettaglio in
1687 \capref{cha:IPC}) o nella operazioni con i file (vedremo alcuni esempi in
1688 \secref{sec:file_atomic}). In questi casi in genere l'uso delle appropriate
1689 funzioni di libreria per compiere le operazioni necessarie è garanzia
1690 sufficiente di atomicità in quanto le system call con cui esse sono realizzate
1691 non possono essere interrotte (o subire interferenze pericolose) da altri
1694 Nel caso dei segnali invece la situazione è molto più delicata, in quanto lo
1695 stesso processo, e pure alcune system call, possono essere interrotti in
1696 qualunque momento, e le operazioni di un eventuale \textit{signal handler}
1697 sono compiute nello stesso spazio di indirizzi del processo. Per questo anche
1698 solo il solo accesso o l'assegnazione di una variabile possono non essere più
1699 operazioni atomiche (torneremo su questi aspetti in \secref{sec:sign_xxx}).
1701 In questo caso il sistema provvede un tipo di dato, il \type{sig\_atomic\_t},
1702 il cui accesso è assicurato essere atomico. In pratica comunque si può
1703 assumere che in ogni piattaforma su cui è implementato Linux il tipo
1704 \type{int} (e gli altri interi di dimensione inferiore) ed i puntatori sono
1705 atomici. Non è affatto detto che lo stesso valga per interi di dimensioni
1706 maggiori (in cui l'accesso può comportare più istruzioni in assembler) o per
1707 le strutture. In questi casi è anche opportuno marcare come \type{volatile} le
1708 variabili che possono essere interessate ad accesso condiviso, onde evitare
1709 problemi con le ottimizzazioni del codice.
1712 \subsection{Le \textit{race condition} e i \textit{deadlock}}
1713 \label{sec:proc_race_cond}
1715 Si definisce una \textit{race condition} il caso in cui diversi processi
1716 stanno cercando di fare qualcosa con una risorsa comune ed il risultato finale
1717 viene a dipendere dall'ordine di esecuzione dei medesimi. Ovviamente dato che
1718 l'ordine di esecuzione di un processo rispetto agli altri, senza appositi
1719 meccanismi di sincronizzazione, non è assolutamente prevedibile, queste
1720 situazioni sono fonti di errori molto subdoli, che possono verificarsi solo in
1721 condizioni particolari e quindi difficilmente riproducibili.
1723 Casi tipici di \textit{race condition} si hanno quando diversi processi
1724 accedono allo stesso file, o nell'accesso a meccanismi di intercomunicazione
1725 come la memoria condivisa. In questi casi, se non si dispone della possibilità
1726 di eseguire atomicamente le operazioni necessarie, occorre che le risorse
1727 condivise siano opportunamente protette da meccanismi di sincronizzazione
1728 (torneremo su queste problematiche di questo tipo in \secref{sec:ipc_semaph}).
1730 Un caso particolare di \textit{race condition} sono poi i cosiddetti
1731 \textit{deadlock}; l'esempio tipico è quello di un flag di ``occupazione'' che
1732 viene rilasciato da un evento asincrono fra il controllo (in cui viene trovato
1733 occupato) e la successiva messa in attesa, che a questo punto diventerà
1734 perpetua (da cui il nome di \textit{deadlock}) in quanto l'evento di sblocco
1735 del flag è stato perso fra il controllo e la messa in attesa.
1738 \subsection{Le funzioni rientranti}
1739 \label{sec:proc_reentrant}
1741 Si dice rientrante una funzione che può essere interrotta in qualunque momento
1742 ed essere chiamata da capo (da questo il nome) da un altro filone di
1743 esecuzione (thread e manipolatori di segnali sono i casi in cui occorre
1744 prestare attenzione a questa problematica) senza che questo comporti nessun
1747 In genere una funzione non è rientrante se opera direttamente su memoria che
1748 non è nello stack. Ad esempio una funzione non è rientrante se usa una
1749 variabile globale o statica od un oggetto allocato dinamicamente che trova da
1750 sola: due chiamate alla stessa funzione interferiranno. Una funzione può non
1751 essere rientrante se usa e modifica un oggetto che le viene fornito dal
1752 chiamante: due chiamate possono interferire se viene passato lo stesso
1755 Le glibc mettono a disposizione due macro di compilatore \macro{\_REENTRANT} e
1756 \macro{\_THREAD\_SAFE} per assicurare che siano usate delle versioni rientranti
1757 delle funzioni di libreria.