1 \chapter{La gestione dei processi}
2 \label{cha:process_handling}
4 Come accennato nell'introduzione in un sistema Unix ogni attività del sistema
5 viene svolta tramite i processi. In sostanza i processi costituiscono l'unità
6 base per l'allocazione e l'uso delle risorse del sistema.
8 Nel precedente capitolo abbiamo esaminato il funzionamento di un processo come
9 unità a se stante, in questo esamineremo il funzionamento dei processi
10 all'interno del sistema. Saranno cioè affrontati i dettagli della creazione e
11 della distruzione dei processi, della gestione dei loro attributi e privilegi,
12 e di tutte le funzioni a questo connesse. Infine nella sezione finale
13 affronteremo alcune problematiche generiche della programmazione in ambiente
18 \section{Introduzione}
21 Inizieremo con una introduzione generale ai concetti che stanno alla base
22 della gestione dei processi in un sistema unix-like. Introdurremo in questa
23 sezione l'architettura della gestione dei processi e le sue principali
24 caratteristiche, dando una panoramica sull'uso delle principali funzioni di
28 \subsection{La gerarchia dei processi}
29 \label{sec:proc_hierarchy}
31 A differenza di quanto avviene in altri sistemi (ad esempio nel VMS la
32 generazione di nuovi processi è un'operazione privilegiata) una delle
33 caratteristiche di Unix (che esamineremo in dettaglio più avanti) è che
34 qualunque processo può a sua volta generarne altri, detti processi figli
35 (\textit{child process}). Ogni processo è identificato presso il sistema da un
36 numero unico, il cosiddetto \textit{process identifier} o, più brevemente,
39 Una seconda caratteristica di un sistema Unix è che la generazione di un
40 processo è una operazione separata rispetto al lancio di un programma. In
41 genere la sequenza è sempre quella di creare un nuovo processo, il quale
42 eseguirà, in un passo successivo, il programma voluto: questo è ad esempio
43 quello che fa la shell quando mette in esecuzione il programma che gli
44 indichiamo nella linea di comando.
46 Una terza caratteristica è che ogni processo è sempre stato generato da un
47 altro, che viene chiamato processo padre (\textit{parent process}). Questo
48 vale per tutti i processi, con una sola eccezione: dato che ci deve essere un
49 punto di partenza esiste un processo speciale (che normalmente è
50 \cmd{/sbin/init}), che viene lanciato dal kernel alla conclusione della fase
51 di avvio; essendo questo il primo processo lanciato dal sistema ha sempre il
52 \acr{pid} uguale a 1 e non è figlio di nessun altro processo.
54 Ovviamente \cmd{init} è un processo speciale che in genere si occupa di far
55 partire tutti gli altri processi necessari al funzionamento del sistema,
56 inoltre \cmd{init} è essenziale per svolgere una serie di compiti
57 amministrativi nelle operazioni ordinarie del sistema (torneremo su alcuni di
58 essi in \secref{sec:proc_termination}) e non può mai essere terminato. La
59 struttura del sistema comunque consente di lanciare al posto di \cmd{init}
60 qualunque altro programma, e in casi di emergenza (ad esempio se il file di
61 \cmd{init} si fosse corrotto) è ad esempio possibile lanciare una shell al suo
62 posto, passando la riga \cmd{init=/bin/sh} come parametro di avvio.
67 [piccardi@gont piccardi]$ pstree -n
84 |-bash---startx---xinit-+-XFree86
85 | `-WindowMaker-+-ssh-agent
93 | |-wterm---bash---pstree
94 | `-wterm---bash-+-emacs
100 \caption{L'albero dei processi, così come riportato dal comando
102 \label{fig:proc_tree}
105 Dato che tutti i processi attivi nel sistema sono comunque generati da
106 \cmd{init} o da uno dei suoi figli\footnote{in realtà questo non è del tutto
107 vero, in Linux ci sono alcuni processi che pur comparendo come figli di
108 init, o con \acr{pid} successivi, sono in realtà generati direttamente dal
109 kernel, (come \cmd{keventd}, \cmd{kswapd}, etc.)} si possono classificare i
110 processi con la relazione padre/figlio in una organizzazione gerarchica ad
111 albero, in maniera analoga a come i file sono organizzati in un albero di
112 directory (si veda \secref{sec:file_file_struct}); in \curfig\ si è mostrato il
113 risultato del comando \cmd{pstree} che permette di mostrare questa struttura,
114 alla cui base c'è \cmd{init} che è progenitore di tutti gli altri processi.
117 \subsection{Una panoramica sulle funzioni di gestione}
118 \label{sec:proc_handling_intro}
120 I processi vengono creati dalla funzione \func{fork}; in molti unix questa è
121 una system call, Linux però usa un'altra nomenclatura, e la funzione fork è
122 basata a sua volta sulla system call \func{\_\_clone}, che viene usata anche
123 per generare i \textit{thread}. Il processo figlio creato dalla \func{fork} è
124 una copia identica del processo processo padre, ma ha nuovo \acr{pid} e viene
125 eseguito in maniera indipendente (le differenze fra padre e figlio sono
126 affrontate in dettaglio in \secref{sec:proc_fork}).
128 Se si vuole che il processo padre si fermi fino alla conclusione del processo
129 figlio questo deve essere specificato subito dopo la \func{fork} chiamando la
130 funzione \func{wait} o la funzione \func{waitpid} (si veda
131 \secref{sec:proc_wait}); queste funzioni restituiscono anche una informazione
132 abbastanza limitata (lo stato di terminazione) sulle cause della terminazione
135 Quando un processo ha concluso il suo compito o ha incontrato un errore non
136 risolvibile esso può essere terminato con la funzione \func{exit} (si veda
137 quanto discusso in \secref{sec:proc_conclusion}). La vita del processo però
138 termina solo quando la notifica della sua conclusione viene ricevuta dal
139 processo padre, a quel punto tutte le risorse allocate nel sistema ad esso
140 associate vengono rilasciate.
142 Avere due processi che eseguono esattamente lo stesso codice non è molto
143 utile, normalmente si genera un secondo processo per affidargli l'esecuzione
144 di un compito specifico (ad esempio gestire una connessione dopo che questa è
145 stata stabilita), o fargli eseguire (come fa la shell) un altro programma. Per
146 quest'ultimo caso si usa la seconda funzione fondamentale per programmazione
147 coi processi che è la \func{exec}.
149 Il programma che un processo sta eseguendo si chiama immagine del processo (o
150 \textit{process image}), le funzioni della famiglia \func{exec} permettono di
151 caricare un'altro programma da disco sostituendo quest'ultimo all'immagine
152 corrente; questo fa si che l'immagine precedente venga completamente
153 cancellata. Questo significa che quando il nuovo programma esce anche il
154 processo termina, e non si può tornare alla precedente immagine.
156 Per questo motivo la \func{fork} e la \func{exec} sono funzioni molto
157 particolari con caratteristiche uniche rispetto a tutte le altre, infatti la
158 prima ritorna due volte (nel processo padre e nel figlio) mentre la seconda
159 non ritorna mai (in quanto con essa viene eseguito un altro programma).
163 \section{La gestione dei processi}
164 \label{sec:proc_handling}
166 In questa sezione tratteremo le funzioni per la gestione dei processi, a
167 partire dalle funzioni elementari che permettono di leggerne gli
168 identificatori, alle varie funzioni di manipolazione dei processi, che
169 riguardano la loro creazione, terminazione, e la messa in esecuzione di altri
173 \subsection{Gli identificatori dei processi}
176 Come accennato nell'introduzione ogni processo viene identificato dal sistema
177 da un numero identificativo unico, il \textit{process id} o \acr{pid};
178 quest'ultimo è un tipo di dato standard, il \type{pid\_t} che in genere è un
179 intero con segno (nel caso di Linux e delle glibc il tipo usato è \type{int}).
181 Il \acr{pid} viene assegnato in forma progressiva ogni volta che un nuovo
182 processo viene creato, fino ad un limite massimo (in genere essendo detto
183 numero memorizzato in un intero a 16 bit si arriva a 32767) oltre il quale si
184 riparte dal numero più basso disponibile (FIXME: verificare, non sono sicuro).
185 Per questo motivo processo il processo di avvio (\cmd{init}) ha sempre il
186 \acr{pid} uguale a uno.
188 Tutti i processi inoltre memorizzano anche il \acr{pid} del genitore da cui
189 sono stati creati, questo viene chiamato in genere \acr{ppid} (da
190 \textit{parent process id}). Questi due identificativi possono essere
191 ottenuti da programma usando le funzioni:
193 \headdecl{sys/types.h}
195 \funcdecl{pid\_t getpid(void)} Restituisce il pid del processo corrente.
196 \funcdecl{pid\_t getppid(void)} Restituisce il pid del padre del processo
199 \bodydesc{Entrambe le funzioni non riportano condizioni di errore.}
201 \noindent esempi dell'uso di queste funzioni sono riportati in
202 \figref{fig:proc_fork_code}, nel programma di esempio \file{ForkTest.c}.
204 Il fatto che il \acr{pid} sia un numero univoco per il sistema lo rende il
205 candidato ideale per generare ulteriori indicatori associati al processo di
206 cui diventa possibile garantire l'unicità: ad esempio la funzione
207 \func{tmpname} (si veda \secref{sec:file_temp_file}) usa il \acr{pid} per
208 generare un pathname univoco, che non potrà essere replicato da un'altro
209 processo che usi la stessa funzione.
211 Tutti i processi figli dello stesso processo padre sono detti
212 \textit{sibling}, questa è una delle relazioni usate nel \textsl{controllo di
213 sessione}, in cui si raggruppano i processi creati su uno stesso terminale,
214 o relativi allo stesso login. Torneremo su questo argomento in dettaglio in
215 \secref{cha:session}, dove esamineremo gli altri identificativi associati ad
216 un processo e le varie relazioni fra processi utilizzate per definire una
219 Oltre al \acr{pid} e al \acr{ppid}, e a quelli usati per il controllo di
220 sessione, ad ogni processo sono associati altri identificatori, usati per il
221 controllo di accesso, che servono per determinare se il processo può o meno
222 eseguire le operazioni richieste, a seconda dei privilegi e dell'identità di
223 chi lo ha posto in esecuzione; su questi torneremo in dettagli più avanti in
224 \secref{sec:proc_perms}.
227 \subsection{La funzione \func{fork}}
228 \label{sec:proc_fork}
230 La funzione \func{fork} è la funzione fondamentale della gestione dei
231 processi: come si è detto l'unico modo di creare un nuovo processo è
232 attraverso l'uso di questa funzione, essa quindi riveste un ruolo centrale
233 tutte le volte che si devono scrivere programmi che usano il multitasking. Il
234 prototipo della funzione è:
236 \headdecl{sys/types.h}
238 \funcdecl{pid\_t fork(void)}
239 Crea un nuovo processo.
241 \bodydesc{Restituisce zero al padre e il \acr{pid} al figlio in caso di
242 successo, ritorna -1 al padre (senza creare il figlio) in caso di errore;
243 \var{errno} può assumere i valori:
245 \item[\macro{EAGAIN}] non ci sono risorse sufficienti per creare un'altro
246 processo (per allocare la tabella delle pagine e le strutture del task) o
247 si è esaurito il numero di processi disponibili.
248 \item[\macro{ENOMEM}] non è stato possibile allocare la memoria per le
249 strutture necessarie al kernel per creare il nuovo processo.
253 Dopo il successo dell'esecuzione di una \func{fork} sia il processo padre che
254 il processo figlio continuano ad essere eseguiti normalmente alla istruzione
255 seguente la \func{fork}; il processo figlio è però una copia del padre, e
256 riceve una copia dei segmenti di testo, stack e dati (vedi
257 \secref{sec:proc_mem_layout}), ed esegue esattamente lo stesso codice del
258 padre, ma la memoria è copiata, non condivisa\footnote{In generale il segmento
259 di testo, che è identico, è condiviso e tenuto in read-only, Linux poi
260 utilizza la tecnica del \textit{copy-on-write}, per cui la memoria degli
261 altri segmenti viene copiata dal kernel per il nuovo processo solo in caso
262 di scrittura, rendendo molto più efficiente il meccanismo} pertanto padre e
263 figlio vedono variabili diverse.
265 La differenza che si ha nei due processi è che nel processo padre il valore di
266 ritorno della funzione fork è il \acr{pid} del processo figlio, mentre nel
267 figlio è zero; in questo modo il programma può identificare se viene eseguito
268 dal padre o dal figlio. Si noti come la funzione \func{fork} ritorni
269 \textbf{due} volte: una nel padre e una nel figlio. La sola differenza che si
270 ha nei due processi è il valore di ritorno restituito dalla funzione, che nel
271 padre è il \acr{pid} del figlio mentre nel figlio è zero; in questo modo il
272 programma può identificare se viene eseguito dal padre o dal figlio.
274 La scelta di questi valori non è casuale, un processo infatti può avere più
275 figli, ed il valore di ritorno di \func{fork} è l'unico modo che permette di
276 identificare quello appena creato; al contrario un figlio ha sempre un solo
277 padre (il cui \acr{pid} può sempre essere ottenuto con \func{getppid}, vedi
278 \secref{sec:proc_pid}) e si usa il valore nullo, che non può essere il
279 \acr{pid} di nessun processo.
284 #include <errno.h> /* error definitions and routines */
285 #include <stdlib.h> /* C standard library */
286 #include <unistd.h> /* unix standard library */
287 #include <stdio.h> /* standard I/O library */
288 #include <string.h> /* string functions */
290 /* Help printing routine */
293 int main(int argc, char *argv[])
296 * Variables definition
303 ... /* handling options */
304 nchild = atoi(argv[optind]);
305 printf("Test for forking %d child\n", nchild);
306 /* loop to fork children */
307 for (i=0; i<nchild; i++) {
308 if ( (pid = fork()) < 0) {
310 printf("Error on %d child creation, %s\n", i+1, strerror(errno));
313 if (pid == 0) { /* child */
314 printf("Child %d successfully executing\n", ++i);
315 if (wait_child) sleep(wait_child);
316 printf("Child %d, parent %d, exiting\n", i, getppid());
318 } else { /* parent */
319 printf("Spawned %d child, pid %d \n", i+1, pid);
320 if (wait_parent) sleep(wait_parent);
321 printf("Go to next child \n");
325 if (wait_end) sleep(wait_end);
329 \caption{Esempio di codice per la creazione di nuovi processi.}
330 \label{fig:proc_fork_code}
333 Normalmente la chiamata a \func{fork} può fallire solo per due ragioni, o ci
334 sono già troppi processi nel sistema (il che di solito è sintomo che
335 qualcos'altro non sta andando per il verso giusto) o si è ecceduto il limite
336 sul numero totale di processi permessi all'utente (il valore della costante
337 \macro{CHILD\_MAX} definito in \file{limits.h}, che fa riferimento ai processo
338 con lo stesso \textit{real user id}).
340 L'uso di \func{fork} avviene secondo due modalità principali; la prima è
341 quella in cui all'interno di un programma si creano processi figli per
342 affidargli l'esecuzione di una certa sezione di codice, mentre il processo
343 padre ne esegue un'altra. È il caso tipico dei server di rete in cui il padre
344 riceve ed accetta le richieste da parte dei client, per ciascuna delle quali
345 pone in esecuzione un figlio che è incaricato di fornire il servizio.
347 La seconda modalità è quella in cui il processo vuole eseguire un altro
348 programma; questo è ad esempio il caso della shell. In questo caso il processo
349 crea un figlio la cui unica operazione è quella fare una \func{exec} (di cui
350 parleremo in \secref{sec:proc_exec}) subito dopo la \func{fork}.
352 Alcuni sistemi operativi (il VMS ad esempio) combinano le operazioni di questa
353 seconda modalità (una \func{fork} seguita da una \func{exec}) in un'unica
354 operazione che viene chiamata \textit{spawn}. Nei sistemi unix-like è stato
355 scelto di mantenere questa separazione, dato che, come visto per la prima
356 modalità d'uso, esistono numerosi scenari in cui si può usare una \func{fork}
357 senza bisogno di una \func{exec}. Inoltre anche nel caso della seconda
358 modalità di operazioni, avere le due funzioni separate permette al figlio di
359 cambiare gli attributi del processo (maschera dei segnali, redirezione
360 dell'output, \textit{user id}) prima della \func{exec}, rendendo molto più
361 flessibile la possibilità di modificare gli attributi del nuovo processo.
363 In \curfig\ si è riportato il corpo del codice del programma di esempio
364 \cmd{forktest}, che ci permette di illustrare molte caratteristiche dell'uso
365 della funzione \func{fork}. Il programma permette di creare un numero di figli
366 specificato a linea di comando, e prende anche alcune opzioni per indicare
367 degli eventuali tempi di attesa in secondi (eseguiti tramite la funzione
368 \func{sleep}) per il padre ed il figlio (con \cmd{forktest -h} si ottiene la
369 descrizione delle opzioni); il codice completo, compresa la parte che gestisce
370 le opzioni a riga di comando, è disponibile nel file \file{ForkTest.c}.
372 Decifrato il numero di figli da creare, il ciclo principale del programma
373 (\texttt{\small 28--40}) esegue in successione la creazione dei processi figli
374 controllando il successo della chiamata a \func{fork} (\texttt{\small
375 29--31}); ciascun figlio (\texttt{\small 29--31}) si limita a stampare il
376 suo numero di successione, eventualmente attendere il numero di secondi
377 specificato e scrivere un messaggio prima di uscire. Il processo padre invece
378 (\texttt{\small 29--31}) stampa un messaggio di creazione, eventualmente
379 attende il numero di secondi specificato, e procede nell'esecuzione del ciclo;
380 alla conclusione del ciclo, prima di uscire, può essere specificato un altro
383 Se eseguiamo il comando senza specificare attese (come si può notare in
384 \texttt{\small 17--19} i valori di default specificano di non attendere),
385 otterremo come output sul terminale:
389 [piccardi@selidor sources]$ ./forktest 3
390 Process 1963: forking 3 child
391 Spawned 1 child, pid 1964
392 Child 1 successfully executing
393 Child 1, parent 1963, exiting
395 Spawned 2 child, pid 1965
396 Child 2 successfully executing
397 Child 2, parent 1963, exiting
399 Child 3 successfully executing
400 Child 3, parent 1963, exiting
401 Spawned 3 child, pid 1966
406 Esaminiamo questo risultato: una prima conclusione che si può trarre è non si
407 può dire quale processo fra il padre ed il figlio venga eseguito per
408 primo\footnote{anche se nel kernel 2.4.x era stato introdotto un meccanismo
409 che metteva in esecuzione sempre il xxx per primo (TODO recuperare le
410 informazioni esatte)} dopo la chiamata a \func{fork}; dall'esempio si può
411 notare infatti come nei primi due cicli sia stato eseguito per primo il padre
412 (con la stampa del \acr{pid} del nuovo processo) per poi passare
413 all'esecuzione del figlio (completata con i due avvisi di esecuzione ed
414 uscita), e tornare all'esecuzione del padre (con la stampa del passaggio al
415 ciclo successivo), mentre la terza volta è stato prima eseguito il figlio
416 (fino alla conclusione) e poi il padre.
418 In generale l'ordine di esecuzione dipenderà, oltre che dall'algoritmo di
419 scheduling usato dal kernel, dalla particolare situazione in si trova la
420 macchina al momento della chiamata, risultando del tutto impredicibile.
421 Eseguendo più volte il programma di prova e producendo un numero diverso di
422 figli, si sono ottenute situazioni completamente diverse, compreso il caso in
423 cui il processo padre ha eseguito più di una \func{fork} prima che uno dei
424 figli venisse messo in esecuzione.
426 Pertanto non si può fare nessuna assunzione sulla sequenza di esecuzione delle
427 istruzioni del codice fra padre e figli, nè sull'ordine in cui questi potranno
428 essere messi in esecuzione, e se è necessaria una qualche forma di precedenza
429 occorrerà provvedere ad espliciti meccanismi di sincronizzazione, pena il
430 rischio di incorrere nelle cosiddette \textit{race conditions}.
432 Si noti inoltre che, come accennato, essendo i segmenti di memoria utilizzati
433 dai singoli processi completamente separati, le modifiche delle variabili nei
434 processi figli (come l'incremento di \var{i} in \texttt{\small 33}) sono
435 visibili solo al loro interno, e non hanno alcun effetto sul valore che le
436 stesse variabili hanno nel processo padre (ed in eventuali altri processi
437 figli che eseguano lo stesso codice).
439 Un secondo aspetto molto importante nella creazione dei processi figli è
440 quello dell'interazione dei vari processi con i file; per illustrarlo meglio
441 proviamo a redirigere su un file l'output del nostro programma di test, quello
446 [piccardi@selidor sources]$ ./forktest 3 > output
447 [piccardi@selidor sources]$ cat output
448 Process 1967: forking 3 child
449 Child 1 successfully executing
450 Child 1, parent 1967, exiting
451 Test for forking 3 child
452 Spawned 1 child, pid 1968
454 Child 2 successfully executing
455 Child 2, parent 1967, exiting
456 Test for forking 3 child
457 Spawned 1 child, pid 1968
459 Spawned 2 child, pid 1969
461 Child 3 successfully executing
462 Child 3, parent 1967, exiting
463 Test for forking 3 child
464 Spawned 1 child, pid 1968
466 Spawned 2 child, pid 1969
468 Spawned 3 child, pid 1970
472 che come si vede è completamente diverso da quanto ottenevamo sul terminale.
474 Il comportamento delle varie funzioni di interfaccia con i file è analizzato
475 in gran dettaglio in \capref{cha:file_unix_interface} e in
476 \secref{cha:files_std_interface}. Qui basta accennare che si sono usate le
477 funzioni standard della libreria del C che prevedono l'output bufferizzato; e
478 questa bufferizzazione varia a seconda che si tratti di un file su disco (in
479 cui il buffer viene scaricato su disco solo quando necessario) o di un
480 terminale (nel qual caso il buffer viene scaricato ad ogni a capo).
482 Nel primo esempio allora avevamo che ad ogni chiamata a \func{printf} il
483 buffer veniva scaricato, e le singole righe erano stampate a video subito dopo
484 l'esecuzione della \func{printf}. Ma con la redirezione su file la scrittura
485 non avviene più alla fine di ogni riga e l'output resta nel buffer, per questo
486 motivo, dato che ogni figlio riceve una copia della memoria del padre, esso
487 riceverà anche quanto c'è nel buffer delle funzioni di I/O, comprese le linee
488 scritte dal padre fino allora. Così quando all'uscita del figlio il buffer
489 viene scritto su disco, troveremo nel file anche tutto quello che il processo
490 padre aveva scritto prima della sua creazione. E alla fine del file, dato che
491 in questo caso il padre esce per ultimo, troviamo anche l'output del padre.
493 Ma l'esempio ci mostra un'altro aspetto fondamentale dell'interazione con i
494 file, che era valido anche per l'esempio precedente, ma meno evidente; il
495 fatto cioè che non solo processi diversi possono scrivere in contemporanea
496 sullo stesso file (l'argomento della condivisione dei file in unix è trattato
497 in dettaglio in \secref{sec:file_sharing}), ma anche che, a differenza di
498 quanto avviene per le variabili, la posizione corrente sul file è condivisa
499 fra il padre e tutti i processi figli.
501 Quello che succede è che quando lo standard output del padre viene rediretto,
502 lo stesso avviene anche per tutti i figli; la funzione \func{fork} infatti ha
503 la caratteristica di duplicare (allo stesso modo in cui lo fa la funzione
504 \func{dup}, trattata in \secref{sec:file_dup}) nei figli tutti i file
505 descriptor aperti nel padre, il che comporta che padre e figli condividono le
506 stesse voci della file table (per la spiegazione di questi termini si veda
507 \secref{sec:file_sharing}) e quindi anche l'offset corrente nel file.
509 In questo modo se un processo scrive sul file aggiornerà l'offset sulla file
510 table, e tutti gli altri processi che condividono la file table vedranno il
511 nuovo valore; in questo modo si evita, in casi come quello appena mostrato in
512 cui diversi processi scrivono sullo stesso file, che l'output successivo di un
513 processo vada a sovrapporsi a quello dei precedenti (l'output potrà risultare
514 mescolato, ma non ci saranno parti perdute per via di una sovrascrittura).
516 Questo tipo di comportamento è essenziale in tutti quei casi in cui il padre
517 crea un figlio ed attende la sua conclusione per proseguire, ed entrambi
518 scrivono sullo stesso file, ad esempio lo standard output (un caso tipico è la
519 shell). Se l'output viene rediretto con questo comportamento avremo che il
520 padre potrà continuare a scrivere automaticamente in coda a quanto scritto dal
521 figlio; se così non fosse ottenere questo comportamento sarebbe estremamente
522 complesso necessitando di una qualche forma di comunicazione fra i due
525 In generale comunque non è buona norma far scrivere più processi sullo stesso
526 file senza una qualche forma di sincronizzazione in quanto, come visto con il
527 nostro esempio, le varie scritture risulteranno mescolate fra loro in una
528 sequenza impredicibile. Le modalità con cui in genere si usano i file dopo una
529 \func{fork} sono sostanzialmente due:
531 \item Il processo padre aspetta la conclusione del figlio. In questo caso non
532 è necessaria nessuna azione riguardo ai file, in quanto la sincronizzazione
533 degli offset dopo eventuali operazioni di lettura e scrittura effettuate dal
535 \item L'esecuzione di padre e figlio procede indipendentemente. In questo caso
536 ciascuno dei due deve chiudere i file che non gli servono una volta che la
537 \func{fork} è stata eseguita, per evitare ogni forma di interferenza.
540 Oltre ai file aperti i processi figli ereditano dal padre una serie di altre
541 proprietà; la lista dettagliata delle proprietà che padre e figlio hanno in
542 comune dopo l'esecuzione di una \func{fork} è la seguente:
544 \item i file aperti e gli eventuali flag di \textit{close-on-exec} (vedi
545 \secref{sec:proc_exec} e \secref{sec:file_fcntl}) se settati.
546 \item gli identificatori per il controllo di accesso: il \textit{real user
547 id}, il \textit{real group id}, l'\textit{effective user id},
548 l'\textit{effective group id} e i \textit{supplementary group id} (vedi
549 \secref{sec:proc_user_group}).
550 \item gli identificatori per il controllo di sessione: il \textit{process
551 group id} e il \textit{session id} e il terminale di controllo (vedi
552 \secref{sec:sess_xxx} e \secref{sec:sess_xxx}).
553 \item i flag di \acr{suid} e \acr{sgid} (vedi \secref{sec:file_suid_sgid}).
554 \item la directory di lavoro e la directory radice (vedi
555 \secref{sec:file_work_dir}).
556 \item la maschera dei permessi di creazione (vedi \secref{sec:file_umask}).
557 \item la maschera dei segnali bloccati e le azioni installate (vedi
558 \secref{sec:sig_xxx}).
559 \item i segmenti di memoria condivisa agganciati al processo (vedi
560 \secref{sec:ipc_xxx}).
561 \item i limiti sulle risorse (vedi \secref{sec:sys_xxx}).
562 \item le variabili di ambiente (vedi \secref{sec:proc_environ}).
564 le differenze fra padre e figlio dopo la \func{fork} invece sono:
566 \item il valore di ritorno di \func{fork}.
567 \item il \textit{process id}.
568 \item il \textit{parent process id} (quello del figlio viene settato al
569 \acr{pid} del padre).
570 \item i valori dei tempi di esecuzione (vedi \secref{sec:sys_xxx}) che
571 nel figlio sono posti a zero.
572 \item i \textit{file lock} (vedi \secref{sec:file_locking}), che non
573 vengono ereditati dal figlio.
574 \item gli allarmi ed i segnali pendenti (vedi \secref{sec:sig_xxx}), che per il figlio vengono cancellati.
578 \subsection{La funzione \func{vfork}}
579 \label{sec:proc_vfork}
581 La funzione \func{vfork} è esattamente identica a \func{fork} ed ha la stessa
582 semantica e gli stessi errori; la sola differenza è che non viene creata la
583 tabella delle pagine né la struttura dei task per il nuovo processo. Il
584 processo padre è posto in attesa fintanto che il figlio non ha eseguito una
585 \func{execve} o non è uscito con una \func{\_exit}. Il figlio condivide la
586 memoria del padre (e modifiche possono avere effetti imprevedibili) e non deve
587 ritornare o uscire con \func{exit} ma usare esplicitamente \func{\_exit}.
589 Questa funzione è un rimasuglio dei vecchi tempi in cui eseguire una
590 \func{fork} comportava anche la copia completa del segmento dati del processo
591 padre, che costituiva un inutile appesantimento in tutti quei casi in cui la
592 \func{fork} veniva fatto solo per poi eseguire una \func{exec}. La funzione
593 venne introdotta in BSD per migliorare le prestazioni.
595 Dato che Linux supporta il \textit{copy on write} la perdita di prestazioni è
596 assolutamente trascurabile, e l'uso di questa funzione (che resta un caso
597 speciale della funzione \func{clone}), è deprecato, per questo eviteremo di
598 trattarla ulteriormente.
601 \subsection{La conclusione di un processo.}
602 \label{sec:proc_termination}
604 In \secref{sec:proc_conclusion} abbiamo già affrontato le modalità con cui
605 concludere un programma, ma dal punto di vista del programma stesso; avendo a
606 che fare con un sistema multitasking occorre adesso affrontare l'argomento dal
607 punto di vista generale di come il sistema gestisce la conclusione dei
610 Abbiamo già visto in \secref{sec:proc_conclusion} le tre modalità con cui un
611 programma viene terminato in maniera normale: la chiamata di \func{exit} (che
612 esegue le funzioni registrate per l'uscita e chiude gli stream), il ritorno
613 dalla funzione \func{main} (equivalente alla chiamata di \func{exit}), e la
614 chiamata ad \func{\_exit} (che passa direttamente alle operazioni di
615 terminazione del processo da parte del kernel).
617 Ma oltre alla conclusione normale abbiamo accennato che esistono anche delle
618 modalità di conclusione anomala; queste sono in sostanza due: il programma può
619 chiamare la funzione \func{abort} per invocare una chiusura anomala, o essere
620 terminato da un segnale. In realtà anche la prima modalità si riconduce alla
621 seconda, dato che \func{abort} si limita a generare il segnale
624 Qualunque sia la modalità di conclusione di un processo, il kernel esegue
625 comunque una serie di operazioni: chiude tutti i file aperti, rilascia la
626 memoria che stava usando, e così via; l'elenco completo delle operazioni
627 eseguite alla chiusura di un processo è il seguente:
629 \item tutti i descrittori dei file sono chiusi.
630 \item viene memorizzato lo stato di terminazione del processo.
631 \item ad ogni processo figlio viene assegnato un nuovo padre.
632 \item viene inviato il segnale \macro{SIGCHLD} al processo padre (vedi
633 \secref{sec:sig_xxx}) .
634 \item se il processo è un leader di sessione viene mandato un segnale di
635 \macro{SIGHUP} a tutti i processi in background e il terminale di
636 controllo viene disconnesso (vedi \secref{sec:sess_xxx}).
637 \item se la conclusione di un processo rende orfano un \textit{process
638 group} ciascun membro del gruppo viene bloccato, e poi gli vengono
639 inviati in successione i segnali \macro{SIGHUP} e \macro{SIGCONT}
640 (vedi \secref{sec:sess_xxx}).
642 ma al di la di queste operazioni è necessario poter disporre di un meccanismo
643 ulteriore che consenta di sapere come questa terminazione è avvenuta; dato che
644 in un sistema unix-like tutto viene gestito attraverso i processi il
645 meccanismo scelto consiste nel riportare lo stato di terminazione
646 (\textit{termination status}) di cui sopra al processo padre.
648 Nel caso di conclusione normale, lo stato di uscita del processo viene
649 caratterizzato tramite il valore del cosiddetto \textit{exit status}, cioè il
650 valore passato alle funzioni \func{exit} o \func{\_exit} (o dal valore di
651 ritorno per \func{main}). Ma se il processo viene concluso in maniera anomala
652 il programma non può specificare nessun \textit{exit status}, ed è il kernel
653 che deve generare autonomamente il \textit{termination status} per indicare le
654 ragioni della conclusione anomala.
656 Si noti la distinzione fra \textit{exit status} e \textit{termination status}:
657 quello che contraddistingue lo stato di chiusura del processo e viene
658 riportato attraverso le funzioni \func{wait} o \func{waitpid} (vedi
659 \secref{sec:proc_wait}) è sempre quest'ultimo; in caso di conclusione normale
660 il kernel usa il primo (nel codice eseguito da \func{\_exit}) per produrre il
663 La scelta di riportare al padre lo stato di terminazione dei figli, pur
664 essendo l'unica possibile, comporta comunque alcune complicazioni: infatti se
665 alla sua creazione è scontato che ogni nuovo processo ha un padre, non è detto
666 che sia così alla sua conclusione, dato che il padre potrebbe essere già
667 terminato (si potrebbe avere cioè quello che si chiama un processo
670 Questa complicazione viene superata facendo in modo che il processo figlio
671 venga \textsl{adottato} da \cmd{init}: come già accennato quando un processo
672 termina il kernel controlla se è il padre di altri processi in esecuzione: in
673 caso positivo allora il \acr{ppid} di tutti questi processi viene sostituito
674 con il \acr{pid} di \cmd{init} (e cioè con 1); in questo modo ogni processo
675 avrà sempre un padre (nel caso \textsl{adottivo}) cui riportare il suo stato
676 di terminazione. Come verifica di questo comportamento possiamo eseguire il
677 comando \cmd{forktest} imponendo a ciascun processo figlio due
678 secondi di attesa prima di uscire, il risultato è:
682 [piccardi@selidor sources]$ ./forktest -c2 3
683 Process 1972: forking 3 child
684 Spawned 1 child, pid 1973
685 Child 1 successfully executing
687 Spawned 2 child, pid 1974
688 Child 2 successfully executing
690 Child 3 successfully executing
691 Spawned 3 child, pid 1975
693 [piccardi@selidor sources]$ Child 3, parent 1, exiting
694 Child 2, parent 1, exiting
695 Child 1, parent 1, exiting
698 come si può notare in questo caso il processo padre si conclude prima dei
699 figli, tornando alla shell, che stampa il prompt sul terminale: circa due
700 secondi dopo viene stampato a video anche l'output dei tre figli che
701 terminano, e come si può notare in questo caso, al contrario di quanto visto
702 in precedenza, essi riportano 1 come \acr{ppid}.
704 Altrettanto rilevante è il caso in cui il figlio termina prima del padre,
705 perché non è detto che il padre possa ricevere immediatamente lo stato di
706 terminazione, quindi il kernel deve comunque conservare una certa quantità di
707 informazioni riguardo ai processi che sta terminando.
709 Questo viene fatto mantenendo attiva la voce nella tabella dei processi, e
710 memorizzando alcuni dati essenziali, come il \acr{pid}, i tempi di CPU usati
711 dal processo (vedi \secref{sec:sys_unix_time}) e lo stato di terminazione
712 \footnote{NdA verificare esattamente cosa c'è!}, mentre la memoria in uso ed i
713 file aperti vengono rilasciati immediatamente. I processi che sono terminati,
714 ma il cui stato di terminazione non è stato ancora ricevuto dal padre sono
715 chiamati \textit{zombie}, essi restano presenti nella tabella dei processi ed
716 in genere possono essere identificati dall'output di \cmd{ps} per la presenza
717 di una \cmd{Z} nella colonna che ne indica lo stato. Quando il padre
718 effettuerà la lettura dello stato di uscita anche questa informazione, non più
719 necessaria, verrà scartata e la terminazione potrà dirsi completamente
722 Possiamo utilizzare il nostro programma di prova per analizzare anche questa
723 condizione: lanciamo il comando \cmd{forktest} in background, indicando al
724 processo padre di aspettare 10 secondi prima di uscire; in questo caso, usando
725 \cmd{ps} sullo stesso terminale (prima dello scadere dei 10 secondi)
730 [piccardi@selidor sources]$ ps T
731 PID TTY STAT TIME COMMAND
732 419 pts/0 S 0:00 bash
733 568 pts/0 S 0:00 ./forktest -e10 3
734 569 pts/0 Z 0:00 [forktest <defunct>]
735 570 pts/0 Z 0:00 [forktest <defunct>]
736 571 pts/0 Z 0:00 [forktest <defunct>]
737 572 pts/0 R 0:00 ps T
740 e come si vede, dato che non si è fatto nulla per riceverne lo stato di
741 terminazione, i tre processi figli sono ancora presenti pur essendosi
742 conclusi, con lo stato di zombie e l'indicazione che sono stati terminati.
744 La possibilità di avere degli zombie deve essere tenuta sempre presente quando
745 si scrive un programma che deve essere mantenuto in esecuzione a lungo e
746 creare molti figli. In questo caso si deve sempre avere cura di far leggere
747 l'eventuale stato di uscita di tutti i figli (in genere questo si fa
748 attraverso un apposito \textit{signal handler}, che chiama la funzione
749 \func{wait}, vedi \secref{sec:sig_xxx} e \secref{sec:proc_wait}). Questa
750 operazione è necessaria perché anche se gli \textit{zombie} non consumano
751 risorse di memoria o processore, occupano comunque una voce nella tabella dei
752 processi, che a lungo andare potrebbe esaurirsi.
754 Si noti che quando un processo adottato da \cmd{init} termina, esso non
755 diviene uno \textit{zombie}; questo perché una delle funzioni di \cmd{init} è
756 appunto quella di chiamare la funzione \func{wait} per i processi cui fa da
757 padre, completandone la terminazione. Questo è quanto avviene anche quando,
758 come nel caso del precedente esempio con \cmd{forktest}, il padre termina con
759 dei figli in stato di zombie: alla sua terminazione infatti tutti i suoi figli
760 vengono ereditati (compresi gli zombie) verranno adottati da \cmd{init}, il
761 quale provvederà a completarne la terminazione.
763 Si tenga presente infine che siccome gli zombie sono processi già usciti, non
764 c'è modo di eliminarli con il comando \cmd{kill}; l'unica possibilità è quella
765 di terminare il processo che li ha generati, in modo che \cmd{init} possa
766 adottarli e provvedere a concludere la terminazione.
769 \subsection{Le funzioni \func{wait} e \func{waitpid}}
770 \label{sec:proc_wait}
772 Abbiamo già accennato come uno degli usi possibili delle capacità multitasking
773 di un sistema unix-like consista nella creazione di programmi di tipo server,
774 in cui un processo principale attende le richieste che vengono poi soddisfatte
775 creando una serie di processi figli. Si è già sottolineato al paragrafo
776 precedente come in questo caso diventi necessario gestire esplicitamente la
777 conclusione dei vari processi figli onde evitare di riempire di
778 \textit{zombie} la tabella dei processi; le funzioni deputate a questo compito
779 sono sostanzialmente due, \func{wait} e \func{waitpid}. La prima, il cui
782 \headdecl{sys/types.h}
783 \headdecl{sys/wait.h}
784 \funcdecl{pid\_t wait(int * status)}
786 Sospende il processo corrente finché un figlio non è uscito, o finché un
787 segnale termina il processo o chiama una funzione di gestione.
790 La funzione restituisce il \acr{pid} del figlio in caso di successo e -1 in
791 caso di errore; \var{errno} può assumere i valori:
793 \item[\macro{EINTR}] la funzione è stata interrotta da un segnale.
798 è presente fin dalle prime versioni di unix; la funzione ritorna alla
799 conclusione del primo figlio (o immediatamente se un figlio è già
800 uscito). Se un figlio è già uscito la funzione ritorna immediatamente.
802 Al ritorno lo stato di termininazione del processo viene salvato nella
803 variabile puntata da \var{status} e tutte le informazioni relative al
804 processo (vedi \secref{sec:proc_termination}) vengono rilasciate. Nel
805 caso un processo abbia più figli il valore di ritorno permette di
806 identificare qual'è quello che è uscito.
808 Questa funzione ha il difetto di essere poco flessibile, in quanto
809 ritorna all'uscita di un figlio qualunque. Nelle occasioni in cui è
810 necessario attendere la conclusione di un processo specifico occorre
811 predisporre un meccanismo che tenga conto dei processi già terminati, e
812 provveda a ripetere la chiamata alla funzione nel caso il processo
813 cercato sia ancora attivo.
815 Per questo motivo lo standard POSIX.1 ha introdotto la funzione \func{waitpid}
816 che effettua lo stesso servizio, ma dispone di una serie di funzionalità più
817 ampie, legate anche al controllo di sessione. Dato che è possibile ottenere
818 lo stesso comportamento di \func{wait} si consiglia di utilizzare sempre
819 questa funzione; il suo prototipo è:
821 \headdecl{sys/types.h}
822 \headdecl{sys/wait.h}
823 \funcdecl{pid\_t waitpid(pid\_t pid, int * status, int options)}
824 Attende la conclusione di un processo figlio.
826 \bodydesc{La funzione restituisce il \acr{pid} del processo che è uscito, 0 se
827 è stata specificata l'opzione \macro{WNOHANG} e il processo non è uscito e
828 -1 per un errore, nel qual caso \var{errno} assumerà i valori:
830 \item[\macro{EINTR}] se non è stata specificata l'opzione \macro{WNOHANG} e
831 la funzione è stata interrotta da un segnale.
832 \item[\macro{ECHILD}] il processo specificato da \var{pid} non esiste o non è
833 figlio del processo chiamante.
837 Le differenze principali fra le due funzioni sono che \func{wait} si blocca
838 sempre fino a che un processo figlio non termina, mentre \func{waitpid} ha la
839 possibilità si specificare un'opzione \macro{WNOHANG} che ne previene il
840 blocco; inoltre \func{waitpid} può specificare quale processo attendere sulla
841 base del valore specificato tramite la variabile \var{pid}, secondo lo
842 specchietto riportato in \ntab:
846 \begin{tabular}[c]{|c|p{10cm}|}
848 \textbf{Valore} & \textbf{Significato}\\
851 $<-1$& attende per un figlio il cui \textit{process group} è uguale al
852 valore assoluto di \var{pid}. \\
853 $-1$ & attende per un figlio qualsiasi, usata in questa maniera è
854 equivalente a \func{wait}.\\
855 $0$ & attende per un figlio il cui \textit{process group} è uguale a
856 quello del processo chiamante. \\
857 $>0$ & attende per un figlio il cui \acr{pid} è uguale al
858 valore di \var{pid}.\\
861 \caption{Significato dei valori del parametro \var{pid} della funzione
863 \label{tab:proc_waidpid_pid}
866 Il comportamento di \func{waitpid} può essere modificato passando delle
867 opportune opzioni tramite la variabile \var{option}. I valori possibili sono
868 il già citato \macro{WNOHANG}, che previene il blocco della funzione quando il
869 processo figlio non è terminato, e \macro{WUNTRACED} (usata per il controllo
870 di sessione, trattato in \capref{cha:session}) che fa ritornare la funzione
871 anche per i processi figli che sono bloccati ed il cui stato non è stato
872 ancora riportato al padre. Il valore dell'opzione deve essere specificato come
873 maschera binaria ottenuta con l'OR delle suddette costanti con zero.
875 La terminazione di un processo figlio è chiaramente un evento asincrono
876 rispetto all'esecuzione di un programma e può avvenire in un qualunque
877 momento, per questo motivo, come si è visto nella sezione precedente, una
878 delle azioni prese dal kernel alla conclusione di un processo è quella di
879 mandare un segnale di \macro{SIGCHLD} al padre. Questo segnale viene ignorato
880 di default, ma costituisce il meccanismo di comunicazione asincrona con cui il
881 kernel avverte un processo padre che uno dei suoi figli è terminato.
883 In genere in un programma non si vuole essere forzati ad attendere la
884 conclusione di un processo per proseguire, specie se tutto questo serve solo
885 per leggerne lo stato di chiusura (ed evitare la presenza di \textit{zombie}),
886 per questo la modalità più usata per chiamare queste funzioni è quella di
887 utilizzarle all'interno di un \textit{signal handler} (torneremo sui segnali e
888 su come gestire \macro{SIGCHLD} in \secref{sec:sig_sigwait_xxx}) nel qual
889 caso, dato che il segnale è generato dalla terminazione un figlio, avremo la
890 certezza che la chiamata a \func{wait} non si bloccherà.
895 \begin{tabular}[c]{|c|p{10cm}|}
897 \textbf{Macro} & \textbf{Descrizione}\\
900 \macro{WIFEXITED(s)} & Condizione vera (valore non nullo) per un processo
901 figlio che sia terminato normalmente. \\
902 \macro{WEXITSTATUS(s)} & Restituisce gli otto bit meno significativi dello
903 stato di uscita del processo (passato attraverso \func{\_exit}, \func{exit}
904 o come valore di ritorno di \func{main}). Può essere valutata solo se
905 \macro{WIFEXITED} ha restituito un valore non nullo.\\
906 \macro{WIFSIGNALED(s)} & Vera se il processo figlio è terminato
907 in maniera anomala a causa di un segnale che non è stato catturato (vedi
908 \secref{sec:sig_notification}).\\
909 \macro{WTERMSIG(s)} & restituisce il numero del segnale che ha causato
910 la terminazione anomala del processo. Può essere valutata solo se
911 \macro{WIFSIGNALED} ha restituito un valore non nullo.\\
912 \macro{WCOREDUMP(s)} & Vera se il processo terminato ha generato un
913 file si \textit{core dump}. Può essere valutata solo se
914 \macro{WIFSIGNALED} ha restituito un valore non nullo\footnote{questa
915 macro non è definita dallo standard POSIX.1, ma è presente come estensione
916 sia in Linux che in altri unix}.\\
917 \macro{WIFSTOPPED(s)} & Vera se il processo che ha causato il ritorno di
918 \func{waitpid} è bloccato. L'uso è possibile solo avendo specificato
919 l'opzione \macro{WUNTRACED}. \\
920 \macro{WSTOPSIG(s)} & restituisce il numero del segnale che ha bloccato
921 il processo, Può essere valutata solo se \macro{WIFSTOPPED} ha
922 restituito un valore non nullo. \\
925 \caption{Descrizione delle varie macro di preprocessore utilizzabili per
926 verificare lo stato di terminazione \var{s} di un processo.}
927 \label{tab:proc_status_macro}
930 Entrambe le funzioni restituiscono lo stato di terminazione del processo
931 tramite il puntatore \var{status} (se non interessa memorizzare lo stato si
932 può passare un puntatore nullo). Il valore restituito da entrambe le funzioni
933 dipende dall'implementazione, e tradizionalmente alcuni bit sono riservati per
934 memorizzare lo stato di uscita (in genere 8) altri per indicare il segnale che
935 ha causato la terminazione (in caso di conclusione anomala), uno per indicare
936 se è stato generato un core file, etc.\footnote{le definizioni esatte si
937 possono trovare in \file{<bits/waitstatus.h} ma questo file non deve mai
938 essere usato direttamente, esso viene incluso attraverso
939 \file{<sys/wait.h>}}. Lo standard POSIX.1 definisce una serie di macro di
940 preprocessore da usare per analizzare lo stato di uscita; esse sono definite
941 sempre in \file{<sys/wait.h>} ed elencate in \curtab\ (si tenga presente che
942 queste macro prendono come parametro la variabile di tipo \type{int} puntata
945 Si tenga conto che nel caso di conclusione anomala il valore restituito da
946 \macro{WTERMSIG} può essere controllato contro le costanti definite in
947 \file{signal.h}, e stampato usando le funzioni definite in
948 \secref{sec:sig_strsignal}.
951 \subsection{Le funzioni \func{wait3} e \func{wait4}}
952 \label{sec:proc_wait4}
954 Linux, seguendo una estensione di BSD, supporta altre due funzioni per la
955 lettura dello stato di terminazione di un processo, analoghe a \func{wait} e
956 \func{waitpid}, ma che prevedono un ulteriore parametro attraverso il quale il
957 kernel può restituire al processo padre ulteriori informazioni sulle risorse
958 usate dal processo terminato e dai vari figli. Queste funzioni, che diventano
959 accessibili definendo la costante \macro{\_USE\_BSD}, sono:
961 \headdecl{sys/times.h}
962 \headdecl{sys/types.h}
963 \headdecl{sys/wait.h}
964 \headdecl{sys/resource.h}
965 \funcdecl{pid\_t wait4(pid\_t pid, int * status, int options, struct rusage
967 È identica a \func{waitpid} sia per comportamento che per i
968 valori dei parametri, ma restituisce in \var{rusage} un sommario delle
969 risorse usate dal processo (per i dettagli vedi \secref{sec:sys_xxx})
970 \funcdecl{pid\_t wait3(int *status, int options, struct rusage *rusage)}
971 Prima versione, equivalente a \func{wait4(-1, \&status, opt, rusage)} è
972 ormai deprecata in favore di \func{wait4}.
975 la struttura \type{rusage} è definita in \file{sys/resource.h}, e viene
976 utilizzata anche dalla funzione \func{getrusage} per ottenere le risorse di
977 sistema usate dal processo; la sua definizione è riportata in \nfig.
981 \begin{minipage}[c]{15cm}
982 \begin{lstlisting}[labelstep=0,frame=,indent=1cm]{}
984 struct timeval ru_utime; /* user time used */
985 struct timeval ru_stime; /* system time used */
986 long ru_maxrss; /* maximum resident set size */
987 long ru_ixrss; /* integral shared memory size */
988 long ru_idrss; /* integral unshared data size */
989 long ru_isrss; /* integral unshared stack size */
990 long ru_minflt; /* page reclaims */
991 long ru_majflt; /* page faults */
992 long ru_nswap; /* swaps */
993 long ru_inblock; /* block input operations */
994 long ru_oublock; /* block output operations */
995 long ru_msgsnd; /* messages sent */
996 long ru_msgrcv; /* messages received */
997 long ru_nsignals; ; /* signals received */
998 long ru_nvcsw; /* voluntary context switches */
999 long ru_nivcsw; /* involuntary context switches */
1004 \caption{La struttura \var{rusage} per la lettura delle informazioni dei
1005 delle risorse usate da un processo.}
1006 \label{fig:proc_rusage_struct}
1009 In genere includere esplicitamente \file{<sys/time.h>} non è più
1010 necessario, ma aumenta la portabilità, e serve in caso si debba accedere
1011 ai campi di \var{rusage} definiti come \type{struct timeval}. La
1012 struttura è ripresa da BSD 4.3, attualmente (con il kernel 2.4.x) i soli
1013 campi che sono mantenuti sono: \var{ru\_utime}, \var{ru\_stime},
1014 \var{ru\_minflt}, \var{ru\_majflt}, e \var{ru\_nswap}.
1017 \subsection{Le funzioni \func{exec}}
1018 \label{sec:proc_exec}
1020 Abbiamo già detto che una delle modalità principali con cui si utilizzano i
1021 processi in unix è quella di usarli per lanciare nuovi programmi: questo viene
1022 fatto attraverso una delle funzioni della famiglia \func{exec}. Quando un
1023 processo chiama una di queste funzioni esso viene completamente sostituito dal
1024 nuovo programma; il \acr{pid} del processo non cambia, dato che non viene
1025 creato un nuovo processo, la funzione semplicemente rimpiazza lo stack, o
1026 heap, i dati ed il testo del processo corrente con un nuovo programma letto da
1029 Ci sono sei diverse versioni di \func{exec} (per questo la si è chiamata
1030 famiglia di funzioni) che possono essere usate per questo compito, che in
1031 realtà (come mostrato in \figref{fig:proc_exec_relat}), costituiscono un
1032 front-end a \func{execve}. Il prototipo di quest'ultima è:
1033 \begin{prototype}{unistd.h}
1034 {int execve(const char * filename, char * const argv [], char * const envp[])}
1035 Esegue il programma contenuto nel file \param{filename}.
1037 \bodydesc{La funzione ritorna -1 solo in caso di errore, nel qual caso
1038 caso la \var{errno} può assumere i valori:
1040 \item[\macro{EACCES}] il file non è eseguibile, oppure il filesystem è
1041 montato in \cmd{noexec}, oppure non è un file normale o un interprete.
1042 \item[\macro{EPERM}] il file ha i bit \acr{suid} o \acr{sgid} ma l'utente non
1043 è root o il filesystem è montato con \cmd{nosuid}, oppure
1044 \item[\macro{ENOEXEC}] il file è in un formato non eseguibile o non
1045 riconosciuto come tale, o compilato per un'altra architettura.
1046 \item[\macro{ENOENT}] il file o una delle librerie dinamiche o l'interprete
1047 necessari per eseguirlo non esistono.
1048 \item[\macro{ETXTBSY}] L'eseguibile è aperto in scrittura da uno o più
1050 \item[\macro{EINVAL}] L'eseguibile ELF ha più di un segmento
1051 \macro{PF\_INTERP}, cioè chiede di essere eseguito da più di un
1053 \item[\macro{ELIBBAD}] Un interprete ELF non è in un formato
1056 ed inoltre anche \macro{EFAULT}, \macro{ENOMEM}, \macro{EIO},
1057 \macro{ENAMETOOLONG}, \macro{E2BIG}, \macro{ELOOP}, \macro{ENOTDIR},
1058 \macro{ENFILE}, \macro{EMFILE}.}
1061 La funzione \func{exec} esegue il file o lo script indicato da
1062 \var{filename}, passandogli la lista di argomenti indicata da \var{argv}
1063 e come ambiente la lista di stringhe indicata da \var{envp}; entrambe le
1064 liste devono essere terminate da un puntatore nullo. I vettori degli
1065 argomenti e dell'ambiente possono essere acceduti dal nuovo programma
1066 quando la sua funzione \func{main} è dichiarata nella forma
1067 \func{main(int argc, char *argv[], char *envp[])}.
1069 Le altre funzioni della famiglia servono per fornire all'utente una serie
1070 possibile di diverse interfacce per la creazione di un nuovo processo. I loro
1074 \funcdecl{int execl(const char *path, const char *arg, ...)}
1075 \funcdecl{int execv(const char *path, char *const argv[])}
1076 \funcdecl{int execle(const char *path, const char *arg, ..., char
1078 \funcdecl{int execlp(const char *file, const char *arg, ...)}
1079 \funcdecl{int execvp(const char *file, char *const argv[])}
1081 Sostituiscono l'immagine corrente del processo con quella indicata nel primo
1082 argomento. I parametri successivi consentono di specificare gli argomenti a
1083 linea di comando e l'ambiente ricevuti dal nuovo processo.
1085 \bodydesc{Queste funzioni ritornano solo in caso di errore, restituendo
1086 -1; nel qual caso \var{errno} andrà ad assumere i valori visti in
1087 precedenza per \func{execve}.}
1090 Per capire meglio le differenze fra le funzioni della famiglia si può fare
1091 riferimento allo specchietto riportato in \ntab. La prima differenza riguarda
1092 le modalità di passaggio dei parametri che poi andranno a costituire gli
1093 argomenti a linea di comando (cioè i valori di \var{argv} e \var{argc} visti
1094 dalla funzione \func{main} del programma chiamato).
1096 Queste modalità sono due e sono riassunte dagli mnenonici \func{v} e \func{l}
1097 che stanno rispettivamente per \textit{vector} e \textit{list}. Nel primo caso
1098 gli argomenti sono passati tramite il vettore di puntatori \var{argv[]} a
1099 stringhe terminate con zero che costituiranno gli argomenti a riga di comando,
1100 questo vettore \emph{deve} essere terminato da un puntatore nullo.
1102 Nel secondo caso le stringhe degli argomenti sono passate alla funzione come
1103 lista di puntatori, nella forma:
1104 \begin{lstlisting}[labelstep=0,frame=,indent=1cm]{}
1105 char * arg0, char * arg1, ..., char * argn, NULL
1107 che deve essere terminata da un puntatore nullo. In entrambi i casi vale la
1108 convenzione che il primo argomento (\var{arg0} o \var{argv[0]}) viene usato
1109 per indicare il nome del file che contiene il programma che verrà eseguito.
1114 \begin{tabular}[c]{|l|c|c|c||c|c|c|}
1116 \multicolumn{1}{|c|}{\textbf{Caratteristiche}} &
1117 \multicolumn{6}{|c|}{\textbf{Funzioni}} \\
1119 &\func{execl\ }&\func{execlp}&\func{execle}
1120 &\func{execv\ }& \func{execvp}& \func{execve} \\
1123 argomenti a lista &$\bullet$&$\bullet$&$\bullet$&&& \\
1124 argomenti a vettore &&&&$\bullet$&$\bullet$&$\bullet$\\
1126 filename completo &&$\bullet$&&&$\bullet$& \\
1127 ricerca su \var{PATH}&$\bullet$&&$\bullet$&$\bullet$&&$\bullet$ \\
1129 ambiente a vettore &&&$\bullet$&&&$\bullet$ \\
1130 uso di \var{environ} &$\bullet$&$\bullet$&&$\bullet$&$\bullet$& \\
1133 \caption{Confronto delle caratteristiche delle varie funzioni della
1134 famiglia \func{exec}.}
1135 \label{tab:proc_exec_scheme}
1138 La seconda differenza fra le funzioni riguarda le modalità con cui si
1139 specifica il programma che si vuole eseguire. Con lo mnemonico \func{p} si
1140 indicano le due funzioni che replicano il comportamento della shell nello
1141 specificare il comando da eseguire; quando il parametro \var{file} non
1142 contiene una \file{/} esso viene considerato come un nome di programma, e
1143 viene eseguita automaticamente una ricerca fra i file presenti nella lista di
1144 directory specificate dalla variabile di ambiente \var{PATH}. Il file che
1145 viene posto in esecuzione è il primo che viene trovato. Se si ha un errore di
1146 permessi negati (cioè l'esecuzione della sottostante \func{execve} ritorna un
1147 \macro{EACCESS}), la ricerca viene proseguita nelle eventuali ulteriori
1148 directory indicate nel \var{PATH}, solo se non viene trovato nessun altro file
1149 viene finalmente restituito \macro{EACCESS}.
1151 Le altre quattro funzioni si limitano invece a cercare di eseguire il file
1152 indicato dal parametro \var{path}, che viene interpretato come il
1153 \textit{pathname} del programma.
1157 \includegraphics[width=13cm]{img/exec_rel}
1158 \caption{La interrelazione fra le sei funzioni della famiglia \func{exec}}
1159 \label{fig:proc_exec_relat}
1162 La terza differenza è come viene passata la lista delle variabili di ambiente.
1163 Con lo mnemonico \func{e} vengono indicate quelle funzioni che necessitano di
1164 un vettore di parametri \var{envp[]} analogo a quello usato per gli argomenti
1165 a riga di comando (terminato quindi da un \macro{NULL}), le altre usano il
1166 valore della variabile \var{environ} (vedi \secref{sec:proc_environ}) del
1167 processo di partenza per costruire l'ambiente.
1169 Oltre a mantenere lo stesso \acr{pid}, il nuovo programma fatto partire da
1170 \func{exec} assume anche una serie di altre proprietà del processo chiamante;
1171 la lista completa è la seguente:
1173 \item il \textit{process ID} (\acr{pid}) ed il \textit{parent process ID}
1175 \item il \textit{real user ID} ed il \textit{real group ID} (vedi
1176 \secref{sec:proc_user_group}).
1177 \item i \textit{supplementary group ID} (vedi \secref{sec:proc_user_group}).
1178 \item il \textit{session ID} ed il \textit{process group ID} (vedi
1179 \secref{sec:sess_xxx}).
1180 \item il terminale di controllo (vedi \secref{sec:sess_xxx}).
1181 \item il tempo restante ad un allarme.
1182 \item la directory radice e la directory di lavoro corrente (vedi
1183 \secref{sec:file_work_dir}).
1184 \item la maschera di creazione dei file (\var{umask}, vedi
1185 \secref{sec:file_umask}) ed i \textit{lock} sui file (vedi
1186 \secref{sec:file_locking}).
1187 \item i segnali sospesi (\textit{pending}) e la maschera dei segnali (si veda
1188 \secref{sec:sig_xxx}).
1189 \item i limiti sulle risorse (vedi \secref{sec:sys_limits})..
1190 \item i valori delle variabili \var{tms\_utime}, \var{tms\_stime},
1191 \var{tms\_cutime}, \var{tms\_ustime} (vedi \secref{sec:xxx_xxx}).
1194 Oltre a questo i segnali che sono stati settati per essere ignorati nel
1195 processo chiamante mantengono lo stesso settaggio pure nel nuovo programma,
1196 tutti gli altri segnali vengono settati alla loro azione di default. Un caso
1197 speciale è il segnale \macro{SIGCHLD} che, quando settato a \macro{SIG\_IGN},
1198 può anche non essere resettato a \macro{SIG\_DFL} (si veda
1199 \secref{sec:sig_xxx}).
1201 La gestione dei file aperti dipende dal valore del flag di
1202 \textit{close-on-exec} per ciascun file descriptor (si veda
1203 \secref{sec:file_fcntl}); i file per cui è settato vengono chiusi, tutti gli
1204 altri file restano aperti. Questo significa che il comportamento di default è
1205 che i file restano aperti attraverso una \func{exec}, a meno di una chiamata
1206 esplicita a \func{fcntl} che setti il suddetto flag.
1208 Per le directory lo standard POSIX.1 richiede che esse vengano chiuse
1209 attraverso una \func{exec}, in genere questo è fatto dalla funzione
1210 \func{opendir} che effettua da sola il settaggio del flag di
1211 \textit{close-on-exec} sulle directory che apre, in maniera trasparente
1214 Abbiamo detto che il \textit{real user ID} ed il \textit{real group ID}
1215 restano gli stessi all'esecuzione di \func{exec}; lo stesso vale per
1216 l'\textit{effective user ID} ed l'\textit{effective group ID}, tranne il caso
1217 in cui il file che si va ad eseguire ha o il \acr{suid} bit o lo \acr{sgid}
1218 bit settato, nel qual caso \textit{effective user ID} e \textit{effective
1219 group ID} vengono settati rispettivamente all'utente o al gruppo cui il file
1220 appartiene (per i dettagli vedi \secref{sec:proc_perms}).
1222 Se il file da eseguire è in formato \emph{a.out} e necessita di librerie
1223 condivise, viene lanciato il \textit{linker} dinamico \cmd{ld.so} prima del
1224 programma per caricare le librerie necessarie ed effettuare il link
1225 dell'eseguibile. Se il programma è in formato ELF per caricare le librerie
1226 dinamiche viene usato l'interprete indicato nel segmento \macro{PT\_INTERP},
1227 in genere questo è \file{/lib/ld-linux.so.1} per programmi linkati con le
1228 \emph{libc5}, e \file{/lib/ld-linux.so.2} per programmi linkati con le
1229 \emph{glibc}. Infine nel caso il file sia uno script esso deve iniziare con
1230 una linea nella forma \cmd{\#!/path/to/interpreter} dove l'interprete indicato
1231 deve esse un valido programma (binario, non un altro script) che verrà
1232 chiamato come se si fosse eseguito il comando \cmd{interpreter [arg]
1235 Con la famiglia delle \func{exec} si chiude il novero delle funzioni su cui è
1236 basata la gestione dei processi in unix: con \func{fork} si crea un nuovo
1237 processo, con \func{exec} si avvia un nuovo programma, con \func{exit} e
1238 \func{wait} si effettua e verifica la conclusione dei programmi. Tutte le
1239 altre funzioni sono ausiliarie e servono la lettura e il settaggio dei vari
1240 parametri connessi ai processi.
1244 \section{Il controllo di accesso}
1245 \label{sec:proc_perms}
1247 In questa sezione esamineremo le problematiche relative al controllo di
1248 accesso dal punto di vista del processi; vedremo quali sono gli identificatori
1249 usati, come questi possono essere modificati nella creazione e nel lancio di
1250 nuovi processi, e le varie funzioni per la loro manipolazione diretta e tutte
1251 le problematiche connesse alla gestione accorta dei privilegi.
1254 \subsection{Utente e gruppo di un processo}
1255 \label{sec:proc_user_group}
1257 Come accennato in \secref{sec:intro_multiuser} il modello base\footnote{in
1258 realtà già esistono estensioni di questo modello base, che lo rendono più
1259 flessibile e controllabile, come le \textit{capabilities}, le ACL per i file
1260 o il \textit{Mandatory Access Control} di SELinux} di sicurezza di un
1261 sistema unix-like è fondato sui concetti di utente e gruppo, e sulla
1262 separazione fra l'amministratore (\textsl{root}, detto spesso anche
1263 \textit{superuser}) che non è sottoposto a restrizioni, ed il resto degli
1264 utenti, per i quali invece vengono effettuati i vari controlli di accesso.
1266 %Benché il sistema sia piuttosto semplice (è basato su un solo livello di
1267 % separazione) il sistema permette una
1268 %notevole flessibilità,
1270 Abbiamo già accennato come il sistema associ ad ogni utente e gruppo due
1271 identificatori univoci, lo \acr{uid} e il \acr{gid}; questi servono al kernel
1272 per identificare uno specifico utente o un gruppo di utenti, per poi poter
1273 controllare che essi siano autorizzati a compiere le operazioni richieste. Ad
1274 esempio in \secref{sec:file_access_control} vedremo come ad ogni file vengano
1275 associati un utente ed un gruppo (i suoi \textsl{proprietari}, indicati
1276 appunto tramite un \acr{uid} ed un \acr{gid}) che vengono controllati dal
1277 kernel nella gestione dei permessi di accesso.
1279 Dato che tutte le operazioni del sistema vengono compiute dai processi, è
1280 evidente che per poter implementare un controllo sulle operazioni occorre
1281 anche poter identificare chi è che ha lanciato un certo processo, e pertanto
1282 anche a ciascuno di essi è associato un utente e a un gruppo.
1284 Un semplice controllo di una corrispondenza fra identificativi però non
1285 garantisce però sufficiente flessibilità per tutti quei casi in cui è
1286 necessario poter disporre di privilegi diversi, o dover impersonare un altro
1287 utente per un limitato insieme di operazioni. Per questo motivo in generale
1288 tutti gli unix prevedono che i processi abbiano almeno due gruppi di
1289 identificatori, chiamati rispettivamente \textit{real} ed \textit{effective}.
1294 \begin{tabular}[c]{|c|l|p{6.5cm}|}
1296 \textbf{Suffisso} & \textbf{Significato} & \textbf{Utilizzo} \\
1299 \acr{uid} & \textit{real user id} & indica l'utente che ha lanciato
1301 \acr{gid} & \textit{real group id} & indica il gruppo dell'utente
1302 che ha lanciato il programma \\
1304 \acr{euid} & \textit{effective user id} & indica l'utente usato
1305 dal programma nel controllo di accesso \\
1306 \acr{egid} & \textit{effective group id} & indica il gruppo
1307 usato dal programma nel controllo di accesso \\
1308 -- & \textit{supplementary group id} & indica i gruppi cui
1309 l'utente appartiene \\
1311 -- & \textit{saved user id} & copia dell'\acr{euid} iniziale\\
1312 -- & \textit{saved group id} & copia dell'\acr{egid} iniziale \\
1314 \acr{fsuid} & \textit{filesystem user id} & indica l'utente effettivo per
1316 \acr{fsgid} & \textit{filesystem group id} & indica il gruppo effettivo
1317 per il filesystem \\
1320 \caption{Identificatori di utente e gruppo associati a ciascun processo con
1321 indicazione dei suffissi usate dalle varie funzioni di manipolazione.}
1322 \label{tab:proc_uid_gid}
1325 Al primo gruppo appartengono il \textit{real user ID} e il \textit{real group
1326 ID}: questi vengono settati al login ai valori corrispondenti all'utente con
1327 cui si accede al sistema (e relativo gruppo di default). Servono per
1328 l'identificazione dell'utente e normalmente non vengono mai cambiati. In
1329 realtà vedremo (in \secref{sec:proc_setuid}) che è possibile modificarli, ma
1330 solo ad un processo che abbia i privilegi di amministratore; questa
1331 possibilità è usata ad esempio da \cmd{login} che una volta completata la
1332 procedura di autenticazione lancia una shell per la quale setta questi
1333 identificatori ai valori corrispondenti all'utente che entra nel sistema.
1335 Al secondo gruppo appartengono l'\textit{effective user ID} e
1336 l'\textit{effective group ID} (a cui si aggiungono gli eventuali
1337 \textit{supplementary group id} dei gruppi dei quale l'utente fa parte).
1338 Questi sono invece gli identificatori usati nella verifiche dei permessi del
1339 processo e per il controllo di accesso ai file (argomento affrontato in
1340 dettaglio in \secref{sec:file_perm_overview}).
1342 Questi identificatori normalmente sono identici ai corrispondenti del gruppo
1343 \textsl{reale} tranne nel caso in cui, come visto in \secref{sec:proc_exec},
1344 il programma che si è posto in esecuzione abbia i bit \acr{suid} o \acr{sgid}
1345 settati (il significato di questi bit è affrontato in dettaglio in
1346 \secref{sec:file_suid_sgid}). In questo caso essi saranno settati all'utente e
1347 al gruppo proprietari del file; questo consente, per programmi in cui ci sia
1348 necessità, di dare a qualunque utente normale privilegi o permessi di
1349 un'altro (o dell'amministratore).
1351 Come nel caso del \acr{pid} e del \acr{ppid} tutti questi identificatori
1352 possono essere letti dal processo attraverso delle opportune funzioni, i cui
1353 prototipi sono i seguenti:
1356 \headdecl{sys/types.h}
1357 \funcdecl{uid\_t getuid(void)} Restituisce il \textit{real user ID} del
1360 \funcdecl{uid\_t geteuid(void)} Restituisce l'\textit{effective user ID} del
1363 \funcdecl{gid\_t getgid(void)} Restituisce il \textit{real group ID} del
1366 \funcdecl{gid\_t getegid(void)} Restituisce l'\textit{effective group ID} del
1369 \bodydesc{Queste funzioni non riportano condizioni di errore.}
1372 In generale l'uso di privilegi superiori deve essere limitato il più
1373 possibile, per evitare abusi e problemi di sicurezza, per questo occorre anche
1374 un meccanismo che consenta ad un programma di rilasciare gli eventuali
1375 maggiori privilegi necessari, una volta che si siano effettuate le operazioni
1376 per i quali erano richiesti, e a poterli eventualmente recuperare in caso
1379 Questo in Linux viene fatto usando altri due gruppi di identificatori, il
1380 \textit{saved} ed il \textit{filesystem}, analoghi ai precedenti. Il primo
1381 gruppo è lo stesso usato in SVr4, e previsto dallo standard POSIX quando è
1382 definita la costante \macro{\_POSIX\_SAVED\_IDS}\footnote{in caso si abbia a
1383 cuore la portabilità del programma su altri unix è buona norma controllare
1384 sempre la disponibilità di queste funzioni controllando se questa costante è
1385 definita}, il secondo gruppo è specifico di Linux e viene usato per
1386 migliorare la sicurezza con NFS.
1388 Il \textit{saved user id} e il \textit{saved group id} sono copie
1389 dell'\textit{effective user id} e dell'\textit{effective group id} del
1390 processo padre, e vengono settati dalla funzione \func{exec} all'avvio del
1391 processo, come copie dell'\textit{effective user id} e dell'\textit{effective
1392 group id} dopo che questo sono stati settati tenendo conto di eventuali
1393 \acr{suid} o \acr{sgid}. Essi quindi consentono di tenere traccia di quale
1394 fossero utente e gruppo effettivi all'inizio dell'esecuzione di un nuovo
1397 Il \textit{filesystem user id} e il \textit{filesystem group id} sono una
1398 estensione introdotta in Linux per rendere più sicuro l'uso di NFS (torneremo
1399 sull'argomento in \secref{sec:proc_setfsuid}). Essi sono una replica dei
1400 corrispondenti \textit{effective id}, ai quali si sostituiscono per tutte le
1401 operazioni di verifica dei permessi relativi ai file (trattate in
1402 \secref{sec:file_perm_overview}). Ogni cambiamento effettuato sugli
1403 \textit{effective id} viene automaticamente riportato su di essi, per cui in
1404 condizioni normali se ne può tranquillamente ignorare l'esistenza, in quanto
1405 saranno del tutto equivalenti ai precedenti.
1407 Uno specchietto riassuntivo, contenente l'elenco completo degli identificatori
1408 di utente e gruppo associati dal kernel ad ogni processo, è riportato in
1409 \tabref{tab:proc_uid_gid}.
1412 \subsection{Le funzioni \func{setuid} e \func{setgid}}
1413 \label{sec:proc_setuid}
1415 Le due funzioni che vengono usate per cambiare identità (cioè utente e gruppo
1416 di appartenenza) ad un processo sono rispettivamente \func{setuid} e
1417 \func{setgid}; come accennato in \secref{sec:proc_user_group} in Linux esse
1418 seguono la semantica POSIX che prevede l'esistenza di \textit{saved user id} e
1419 \textit{saved group id}; i loro prototipi sono:
1422 \headdecl{sys/types.h}
1424 \funcdecl{int setuid(uid\_t uid)} Setta l'\textit{user ID} del processo
1427 \funcdecl{int setgid(gid\_t gid)} Setta il \textit{group ID} del processo
1430 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1431 di fallimento: l'unico errore possibile è \macro{EPERM}.}
1434 Il funzionamento di queste due funzioni è analogo, per cui considereremo solo
1435 la prima; la seconda si comporta esattamente allo stesso modo facendo
1436 riferimento al \textit{group id} invece che all'\textit{user id}. Gli
1437 eventuali \textit{supplementary group id} non vengono modificati da nessuna
1438 delle funzioni che tratteremo in questa sezione.
1441 L'effetto della chiamata è diverso a seconda dei privilegi del processo; se
1442 l'\textit{effective user id} è zero (cioè è quello dell'amministratore di
1443 sistema) allora tutti gli identificatori (\textit{real}, \textit{effective}
1444 e \textit{saved}) vengono settati al valore specificato da \var{uid},
1445 altrimenti viene settato solo l'\textit{effective user id}, e soltanto se il
1446 valore specificato corrisponde o al \textit{real user id} o al \textit{saved
1447 user id}. Negli altri casi viene segnalato un errore (con \macro{EPERM}).
1449 Come accennato l'uso principale di queste funzioni è quello di poter
1450 consentire ad un programma con i bit \acr{suid} o \acr{sgid} settati di
1451 riportare l'\textit{effective user id} a quello dell'utente che ha lanciato il
1452 programma, effettuare il lavoro che non necessita di privilegi aggiuntivi, ed
1453 eventualmente tornare indietro.
1455 Come esempio per chiarire dell'uso di queste funzioni prediamo quello con cui
1456 viene gestito l'accesso al file \file{/var/log/utmp}. In questo file viene
1457 registrato chi sta usando il sistema al momento corrente; chiaramente non può
1458 essere lasciato aperto in scrittura a qualunque utente, che potrebbe
1459 falsificare la registrazione. Per questo motivo questo file (e l'analogo
1460 \file{/var/log/wtmp} su cui vengono registrati login e logout) appartengono ad
1461 un gruppo dedicato (\acr{utmp}) ed i programmi che devono accedervi (ad
1462 esempio tutti i programmi di terminale in X, o il programma \cmd{screen}
1463 che crea terminali multipli su una console) appartengono a questo gruppo ed
1464 hanno il bit \acr{sgid} settato.
1466 Quando uno di questi programmi (ad esempio \cmd{xterm}) viene lanciato la
1467 situazione degli identificatori è la seguente:
1470 \textit{real group id} &=& \textrm{\acr{gid} (del chiamante)} \\
1471 \textit{effective group id} &=& \textrm{\acr{utmp}} \\
1472 \textit{saved group id} &=& \textrm{\acr{utmp}}
1474 in questo modo, dato che l'\textit{effective group id} è quello giusto, il
1475 programma può accedere a \file{/var/log/utmp} in scrittura ed aggiornarlo, a
1476 questo punto il programma può eseguire una \func{setgid(getgid())} per settare
1477 l'\textit{effective group id} a quello dell'utente (e dato che il \textit{real
1478 group id} corrisponde la funzione avrà successo), in questo modo non sarà
1479 possibile lanciare dal terminale programmi che modificano detto file, in tal
1480 caso infatti la situazione degli identificatori sarebbe:
1483 \textit{real group id} &=& \textrm{\acr{gid} (invariato)} \\
1484 \textit{effective group id} &=& \textrm{\acr{gid}} \\
1485 \textit{saved group id} &=& \textrm{\acr{utmp} (invariato)}
1487 e ogni processo lanciato dal terminale avrebbe comunque \acr{gid} come
1488 \textit{effective group id}. All'uscita dal terminale, per poter di nuovo
1489 aggiornare lo stato di \file{/var/log/utmp} il programma eseguirà una
1490 \func{setgid(utmp)} (dove \var{utmp} è il valore numerico associato al gruppo
1491 \acr{utmp}, ottenuto ad esempio con una \func{getegid}), dato che in questo
1492 caso il valore richiesto corrisponde al \textit{saved group id} la funzione
1493 avrà successo e riporterà la situazione a:
1496 \textit{real group id} &=& \textrm{\acr{gid} (invariato)} \\
1497 \textit{effective group id} &=& \textrm{\acr{utmp}} \\
1498 \textit{saved group id} &=& \textrm{\acr{utmp} (invariato)}
1500 consentendo l'accesso a \file{/var/log/utmp}.
1502 Occorre però tenere conto che tutto questo non è possibile con un processo con
1503 i privilegi di root, in tal caso infatti l'esecuzione una \func{setuid}
1504 comporta il cambiamento di tutti gli identificatori associati al processo,
1505 rendendo impossibile riguadagnare i privilegi di amministratore. Questo
1506 comportamento è corretto per l'uso che ne fa \cmd{login} una volta che crea
1507 una nuova shell per l'utente; ma quando si vuole cambiare soltanto
1508 l'\textit{effective user id} del processo per cedere i privilegi occorre
1509 ricorrere ad altre funzioni (si veda ad esempio \secref{sec:proc_seteuid}).
1512 \subsection{Le funzioni \func{setreuid} e \func{setresuid}}
1513 \label{sec:proc_setreuid}
1515 Queste due funzioni derivano da BSD che non supportando\footnote{almeno fino
1516 alla versione 4.3+BSD TODO, verificare e aggiornare la nota} i \textit{saved
1517 id} le usava per poter scambiare fra di loro effective e real id. I
1521 \headdecl{sys/types.h}
1523 \funcdecl{int setreuid(uid\_t ruid, uid\_t euid)} Setta il \textit{real user
1524 ID} e l'\textit{effective user ID} del processo corrente ai valori
1525 specificati da \var{ruid} e \var{euid}.
1527 \funcdecl{int setregid(gid\_t rgid, gid\_t egid)} Setta il \textit{real group
1528 ID} e l'\textit{effective group ID} del processo corrente ai valori
1529 specificati da \var{rgid} e \var{egid}.
1531 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1532 di fallimento: l'unico errore possibile è \macro{EPERM}.}
1535 I processi non privilegiati possono settare i \textit{real id} soltanto ai
1536 valori dei loro \textit{effective id} o \textit{real id} e gli
1537 \textit{effective id} ai valori dei loro \textit{real id}, \textit{effective
1538 id} o \textit{saved id}; valori diversi comportano il fallimento della
1539 chiamata; l'amministratore invece può specificare un valore qualunque.
1540 Specificando un valore di -1 l'identificatore corrispondente viene lasciato
1543 Con queste funzione si possono scambiare fra loro \textit{real id} e
1544 \textit{effective id}, e pertanto è possibile implementare un comportamento
1545 simile a quello visto in precedenza per \func{setgid}, cedendo i privilegi con
1546 un primo scambio, e recuperandoli, eseguito il lavoro non privilegiato, con un
1549 In questo caso però occorre porre molta attenzione quando si creano nuovi
1550 processi nella fase intermedia in cui si sono scambiati gli identificatori, in
1551 questo caso infatti essi avranno un \textit{real id} privilegiato, che dovrà
1552 essere esplicitamente eliminato prima di porre in esecuzione un nuovo
1553 programma (occorrerà cioè eseguire un'altra chiamata dopo la \func{fork}, e
1554 prima della \func{exec} per uniformare i \textit{real id} agli
1555 \textit{effective id}) in caso contrario quest'ultimo potrebbe a sua volta
1556 effettuare uno scambio e riottenere privilegi non previsti.
1558 Lo stesso problema di propagazione dei privilegi ad eventuali processi figli
1559 si porrebbe per i \textit{saved id}. Queste funzioni derivano da
1560 un'implementazione che non ne prevede la presenza, e quindi non è possibile
1561 usarle per correggere la situazione come nel caso precedente, per questo
1562 motivo tutte le volte che uno degli identificatori viene modificato ad un
1563 valore diverso dal precedente \textit{real id}, il \textit{saved id} viene
1564 sempre settato al valore dell'\textit{effective id}.
1567 \subsection{Le funzioni \func{setresuid} e \func{setresgid}}
1568 \label{sec:proc_setresuid}
1570 Queste due funzioni sono una estensione introdotta in Linux dal kernel 2.1.44,
1571 e permettono un completo controllo su tutti gli identificatori (\textit{real},
1572 \textit{effective} e \textit{saved}), i prototipi sono:
1575 \headdecl{sys/types.h}
1577 \funcdecl{int setresuid(uid\_t ruid, uid\_t euid, uid\_t suid)} Setta il
1578 \textit{real user ID}, l'\textit{effective user ID} e il \textit{saved user
1579 ID} del processo corrente ai valori specificati rispettivamente da
1580 \var{ruid}, \var{euid} e \var{suid}.
1582 \funcdecl{int setresgid(gid\_t rgid, gid\_t egid, gid\_t sgid)} Setta il
1583 \textit{real group ID}, l'\textit{effective group ID} e il \textit{saved group
1584 ID} del processo corrente ai valori specificati rispettivamente da
1585 \var{rgid}, \var{egid} e \var{sgid}.
1587 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1588 di fallimento: l'unico errore possibile è \macro{EPERM}.}
1591 I processi non privilegiati possono cambiare uno qualunque degli
1592 identificatori usando uno qualunque dei valori correnti di \textit{real id},
1593 \textit{effective id} o \textit{saved id}, l'amministratore può specificare i
1594 valori che vuole; un valore di -1 per un qualunque parametro lascia inalterato
1595 l'identificatore corrispondente.
1599 \subsection{Le funzioni \func{seteuid} e \func{setegid}}
1600 \label{sec:proc_seteuid}
1602 Queste funzioni sono un'estensione allo standard POSIX.1 (ma sono comunque
1603 supportate dalla maggior parte degli unix) e usate per cambiare gli
1604 \textit{effective id}; i loro prototipi sono:
1607 \headdecl{sys/types.h}
1609 \funcdecl{int seteuid(uid\_t uid)} Setta l'\textit{effective user ID} del
1610 processo corrente a \var{uid}.
1612 \funcdecl{int setegid(gid\_t gid)} Setta l'\textit{effective group ID} del
1613 processo corrente a \var{gid}.
1615 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1616 di fallimento: l'unico errore possibile è \macro{EPERM}.}
1619 Gli utenti normali possono settare l'\textit{effective id} solo al valore del
1620 \textit{real id} o del \textit{saved id}, l'amministratore può specificare
1621 qualunque valore. Queste funzioni sono usate per permettere a root di settare
1622 solo l'\textit{effective id}, dato che l'uso normale di \func{setuid} comporta
1623 il settaggio di tutti gli identificatori.
1626 \subsection{Le funzioni \func{setfsuid} e \func{setfsgid}}
1627 \label{sec:proc_setfsuid}
1629 Queste funzioni sono usate per settare gli identificatori usati da Linux per
1630 il controllo dell'accesso ai file. Come già accennato in
1631 \secref{sec:proc_user_group} in Linux è definito questo ulteriore gruppo di
1632 identificatori, che di norma sono assolutamente equivalenti agli
1633 \textit{effective id}, dato che ogni cambiamento di questi ultimi viene
1634 immediatamente riportato sui \textit{filesystem id}.
1636 C'è un solo caso in cui si ha necessità di introdurre una differenza fra
1637 \textit{effective id} e \textit{filesystem id}, ed è per ovviare ad un
1638 problema di sicurezza che si presenta quando si deve implementare un server
1639 NFS. Il server NFS infatti deve poter cambiare l'identificatore con cui accede
1640 ai file per assumere l'identità del singolo utente remoto, ma se questo viene
1641 fatto cambiando l'\textit{effective id} o il \textit{real id} il server si
1642 espone alla ricezione di eventuali segnali ostili da parte dell'utente di cui
1643 ha temporaneamente assunto l'identità. Cambiando solo il \textit{filesystem
1644 id} si ottengono i privilegi necessari per accedere ai file, mantenendo
1645 quelli originari per quanto riguarda tutti gli altri controlli di accesso.
1647 Le due funzioni usate per cambiare questi identificatori sono \func{setfsuid}
1648 e \func{setfsgid}, ovviamente sono specifiche di Linux e non devono essere
1649 usate se si intendono scrivere programmi portabili; i loro prototipi sono:
1651 \headdecl{sys/fsuid.h}
1653 \funcdecl{int setfsuid(uid\_t fsuid)} Setta il \textit{filesystem user ID} del
1654 processo corrente a \var{fsuid}.
1656 \funcdecl{int setfsgid(gid\_t fsgid)} Setta l'\textit{filesystem group ID} del
1657 processo corrente a \var{fsgid}.
1659 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1660 di fallimento: l'unico errore possibile è \macro{EPERM}.}
1663 Queste funzioni hanno successo solo se il processo chiamante ha i privilegi di
1664 amministratore o, per gli altri utenti, se il valore specificato coincide con
1665 uno dei \textit{real}, \textit{effective} o \textit{saved id}.
1668 \section{Problematiche di programmazione multitasking}
1669 \label{sec:proc_multi_prog}
1671 Benché i processi siano strutturati in modo da apparire il più possibile come
1672 indipendenti l'uno dall'altro, nella programmazione in un sistema multiutente
1673 occorre tenere conto di tutta una serie di problematiche che normalmente non
1674 esistono quando si ha a che fare con un sistema in cui viene eseguito un solo
1675 programma alla volta.
1677 Pur non essendo tutto questo direttamente legato alla modalità specifica in
1678 cui il multitasking è implementato in un sistema unix-like, né al solo
1679 concetto di multitasking (le stesse problematiche si presentano ad esempio
1680 nella gestione degli interrupt hardware), in questa sezione conclusiva del
1681 capitolo in cui abbiamo affrontato la gestione dei processi, introdurremo
1682 sinteticamente queste problematiche, che ritroveremo a più riprese in capitoli
1683 successivi, con una breve definizione della terminologia e delle loro
1684 caratteristiche di fondo.
1687 \subsection{Le operazioni atomiche}
1688 \label{sec:proc_atom_oper}
1690 La nozione di \textsl{operazione atomica} deriva dal significato greco della
1691 parola atomo, cioè indivisibile; si dice infatti che una operazione è atomica
1692 quando si ha la certezza che, qualora essa venga effettuata, tutti i passaggi
1693 che devono essere compiuti per realizzarla verranno eseguiti senza possibilità
1694 di interruzione in una fase intermedia.
1696 In un ambiente multitasking il concetto è essenziale, dato che un processo può
1697 essere interrotto in qualunque momento dal kernel che mette in esecuzione un
1698 altro processo o dalla ricezione di un segnale; occorre pertanto essere
1699 accorti nei confronti delle possibili \textit{race condition} (vedi
1700 \secref{sec:proc_race_cond}) derivanti da operazioni interrotte in una fase in
1701 cui non erano ancora state completate.
1703 Nel caso dell'interazione fra processi la situazione è molto più semplice, ed
1704 occorre preoccuparsi della atomicità delle operazioni solo quando si ha a che
1705 fare con meccanismi di intercomunicazione (che esamineremo in dettaglio in
1706 \capref{cha:IPC}) o nella operazioni con i file (vedremo alcuni esempi in
1707 \secref{sec:file_atomic}). In questi casi in genere l'uso delle appropriate
1708 funzioni di libreria per compiere le operazioni necessarie è garanzia
1709 sufficiente di atomicità in quanto le system call con cui esse sono realizzate
1710 non possono essere interrotte (o subire interferenze pericolose) da altri
1713 Nel caso dei segnali invece la situazione è molto più delicata, in quanto lo
1714 stesso processo, e pure alcune system call, possono essere interrotti in
1715 qualunque momento, e le operazioni di un eventuale \textit{signal handler}
1716 sono compiute nello stesso spazio di indirizzi del processo. Per questo anche
1717 solo il solo accesso o l'assegnazione di una variabile possono non essere più
1718 operazioni atomiche (torneremo su questi aspetti in \secref{sec:sign_xxx}).
1720 In questo caso il sistema provvede un tipo di dato, il \type{sig\_atomic\_t},
1721 il cui accesso è assicurato essere atomico. In pratica comunque si può
1722 assumere che in ogni piattaforma su cui è implementato Linux il tipo
1723 \type{int} (e gli altri interi di dimensione inferiore) ed i puntatori sono
1724 atomici. Non è affatto detto che lo stesso valga per interi di dimensioni
1725 maggiori (in cui l'accesso può comportare più istruzioni in assembler) o per
1726 le strutture. In questi casi è anche opportuno marcare come \type{volatile} le
1727 variabili che possono essere interessate ad accesso condiviso, onde evitare
1728 problemi con le ottimizzazioni del codice.
1731 \subsection{Le \textit{race condition} e i \textit{deadlock}}
1732 \label{sec:proc_race_cond}
1734 Si definiscono \textit{race condition} tutte quelle situazioni in cui processi
1735 diversi operano su una risorsa comune, ed in cui il risultato viene a
1736 dipendere dall'ordine in cui essi effettuano le loro operazioni. Il caso
1737 tipico è quella di una operazione che viene eseguita da un processo in più
1738 passi, e può essere compromessa dall'intervento di un altro processo che
1739 accede alla stessa risorsa quando ancora non tutti i passi sono stati
1742 Dato che in un sistema multitasking ogni processo può essere interrotto in
1743 qualunque momento per farne subentrare un'altro in esecuzione, niente può
1744 assicurare un preciso ordine di esecuzione fra processi diversi o che una
1745 sezione di un programma possa essere eseguita senza interruzioni da parte di
1746 altri. Queste situazioni comportano pertanto errori estremamente subdoli e
1747 difficili da tracciare, in quanto nella maggior parte dei casi tutto
1748 funzionerà regolarmente, e solo occasionalmente si avranno degli errori.
1750 Per questo occorre essere ben consapovoli di queste problematiche, e del fatto
1751 che l'unico modo per evitarle è quello di riconoscerle come tali e prendere
1752 gli adeguati provvedimenti per far si che non si verifichino. Casi tipici di
1753 \textit{race condition} si hanno quando diversi processi accedono allo stesso
1754 file, o nell'accesso a meccanismi di intercomunicazione come la memoria
1755 condivisa. In questi casi, se non si dispone della possibilità di eseguire
1756 atomicamente le operazioni necessarie, occorre che quelle parti di codice in
1757 cui si compiono le operazioni critiche sulle risorse condivise, le cosiddette
1758 \textsl{sezioni critiche} del programma, siano opportunamente protette da
1759 meccanismi di sincronizzazione (torneremo su queste problematiche di questo
1760 tipo in \secref{sec:ipc_semaph}).
1762 Un caso particolare di \textit{race condition} sono poi i cosiddetti
1763 \textit{deadlock}, particolarmente gravi in quanto comportano spesso il blocco
1764 completo di un servizio, e non il fallimento di una singola operazione.
1765 L'esempio tipico di una situazione che può condurre ad un \textit{deadlock} è
1766 quello in cui un flag di ``occupazione'' viene rilasciato da un evento
1767 asincrono (come un segnale o un altro processo) fra il momento in cui lo si è
1768 controllato (trovadolo occupato) e la successiva operazione di attesa per lo
1769 sblocco. In questo caso, dato che l'evento di sblocco del flag è avvenuto
1770 senza che ce ne accorgessimo proprio fra il controllo e la messa in attesa,
1771 quest'ultima diventerà perpetua (da cui il nome di \textit{deadlock}).
1773 In tutti questi casi è di fondamentale importanza il concetto di atomicità
1774 visto in \secref{sec:proc_atom_oper}; questi problemi infatti possono essere
1775 risolti soltanto assicurandosi, quando essa sia richiesta, che sia possibile
1776 eseguire in maniera atomica le operazioni necessarie, proteggendo con gli
1777 adeguati meccanismi le \textsl{sezioni critiche} del programma.
1780 \subsection{Le funzioni rientranti}
1781 \label{sec:proc_reentrant}
1783 Si dice \textsl{rientrante} una funzione che può essere interrotta in
1784 qualunque punto della sua esecuzione ed essere chiamata una seconda volta da
1785 un altro thread di esecuzione senza che questo comporti nessun problema nella
1786 esecuzione della stessa. La problematica è comune nella programmazione
1787 multi-thread, ma si hanno gli stessi problemi quando si vogliono chiamare
1788 delle funzioni all'interno dei manipolatori dei segnali.
1790 Fintanto che una funzione opera soltanto con le variabili locali è rientrante;
1791 queste infatti vengono tutte le volte allocate nello stack, e un'altra
1792 invocazione non fa altro che allocarne un'altra copia. Una funzione può non
1793 essere rientrante quando opera su memoria che non è nello stack. Ad esempio
1794 una funzione non è mai rientrante se usa una variabile globale o statica.
1796 Nel caso invece la funzione operi su un oggetto allocato dinamicamente la cosa
1797 viene a dipendere da come avvengono le operazioni; se l'oggetto è creato ogni
1798 volta e ritornato indietro la funzione può essere rientrante, se invece esso
1799 viene individuato dalla funzione stessa due chiamate alla stessa funzione
1800 potranno interferire quando entrambe faranno riferimento allo stesso oggetto.
1801 Allo stesso modo una funzione può non essere rientrante se usa e modifica un
1802 oggetto che le viene fornito dal chiamante: due chiamate possono interferire
1803 se viene passato lo stesso oggetto; in tutti questi casi occorre molta cura da
1804 parte del programmatore.
1806 In genere le funzioni di libreria non sono rientranti, molte di esse ad
1807 esempio utilizzano variabili statiche, le \acr{glibc} però mettono a
1808 disposizione due macro di compilatore, \macro{\_REENTRANT} e
1809 \macro{\_THREAD\_SAFE}, la cui definizione attiva le versioni rientranti di
1810 varie funzioni di libreria, che sono identificate aggiungendo il suffisso
1811 \func{\_r} al nome della versione normale.