3 %% Copyright (C) 2000-2005 Simone Piccardi. Permission is granted to
4 %% copy, distribute and/or modify this document under the terms of the GNU Free
5 %% Documentation License, Version 1.1 or any later version published by the
6 %% Free Software Foundation; with the Invariant Sections being "Un preambolo",
7 %% with no Front-Cover Texts, and with no Back-Cover Texts. A copy of the
8 %% license is included in the section entitled "GNU Free Documentation
11 \chapter{La gestione dei processi}
12 \label{cha:process_handling}
14 Come accennato nell'introduzione in un sistema Unix tutte le operazioni
15 vengono svolte tramite opportuni processi. In sostanza questi ultimi vengono
16 a costituire l'unità base per l'allocazione e l'uso delle risorse del sistema.
18 Nel precedente capitolo abbiamo esaminato il funzionamento di un processo come
19 unità a se stante, in questo esamineremo il funzionamento dei processi
20 all'interno del sistema. Saranno cioè affrontati i dettagli della creazione e
21 della terminazione dei processi, della gestione dei loro attributi e
22 privilegi, e di tutte le funzioni a questo connesse. Infine nella sezione
23 finale introdurremo alcune problematiche generiche della programmazione in
24 ambiente multitasking.
27 \section{Introduzione}
30 Inizieremo con un'introduzione generale ai concetti che stanno alla base della
31 gestione dei processi in un sistema unix-like. Introdurremo in questa sezione
32 l'architettura della gestione dei processi e le sue principali
33 caratteristiche, dando una panoramica sull'uso delle principali funzioni di
37 \subsection{L'architettura della gestione dei processi}
38 \label{sec:proc_hierarchy}
40 A differenza di quanto avviene in altri sistemi (ad esempio nel VMS la
41 generazione di nuovi processi è un'operazione privilegiata) una delle
42 caratteristiche di Unix (che esamineremo in dettaglio più avanti) è che
43 qualunque processo può a sua volta generarne altri, detti processi figli
44 (\textit{child process}). Ogni processo è identificato presso il sistema da un
45 numero univoco, il cosiddetto \textit{process identifier} o, più brevemente,
46 \acr{pid}, assegnato in forma progressiva (vedi sez.~\ref{sec:proc_pid}) quando
47 il processo viene creato.
49 Una seconda caratteristica di un sistema Unix è che la generazione di un
50 processo è un'operazione separata rispetto al lancio di un programma. In
51 genere la sequenza è sempre quella di creare un nuovo processo, il quale
52 eseguirà, in un passo successivo, il programma desiderato: questo è ad esempio
53 quello che fa la shell quando mette in esecuzione il programma che gli
54 indichiamo nella linea di comando.
56 Una terza caratteristica è che ogni processo è sempre stato generato da un
57 altro, che viene chiamato processo padre (\textit{parent process}). Questo
58 vale per tutti i processi, con una sola eccezione: dato che ci deve essere un
59 punto di partenza esiste un processo speciale (che normalmente è
60 \cmd{/sbin/init}), che viene lanciato dal kernel alla conclusione della fase
61 di avvio; essendo questo il primo processo lanciato dal sistema ha sempre il
62 \acr{pid} uguale a 1 e non è figlio di nessun altro processo.
64 Ovviamente \cmd{init} è un processo speciale che in genere si occupa di far
65 partire tutti gli altri processi necessari al funzionamento del sistema,
66 inoltre \cmd{init} è essenziale per svolgere una serie di compiti
67 amministrativi nelle operazioni ordinarie del sistema (torneremo su alcuni di
68 essi in sez.~\ref{sec:proc_termination}) e non può mai essere terminato. La
69 struttura del sistema comunque consente di lanciare al posto di \cmd{init}
70 qualunque altro programma, e in casi di emergenza (ad esempio se il file di
71 \cmd{init} si fosse corrotto) è ad esempio possibile lanciare una shell al suo
72 posto, passando la riga \cmd{init=/bin/sh} come parametro di avvio.
77 [piccardi@gont piccardi]$ pstree -n
94 |-bash---startx---xinit-+-XFree86
95 | `-WindowMaker-+-ssh-agent
103 | |-wterm---bash---pstree
104 | `-wterm---bash-+-emacs
110 \caption{L'albero dei processi, così come riportato dal comando
112 \label{fig:proc_tree}
115 Dato che tutti i processi attivi nel sistema sono comunque generati da
116 \cmd{init} o da uno dei suoi figli\footnote{in realtà questo non è del tutto
117 vero, in Linux ci sono alcuni processi speciali che pur comparendo come
118 figli di \cmd{init}, o con \acr{pid} successivi, sono in realtà generati
119 direttamente dal kernel, (come \cmd{keventd}, \cmd{kswapd}, ecc.).} si
120 possono classificare i processi con la relazione padre/figlio in
121 un'organizzazione gerarchica ad albero, in maniera analoga a come i file sono
122 organizzati in un albero di directory (si veda
123 sez.~\ref{sec:file_organization}); in fig.~\ref{fig:proc_tree} si è mostrato il
124 risultato del comando \cmd{pstree} che permette di visualizzare questa
125 struttura, alla cui base c'è \cmd{init} che è progenitore di tutti gli altri
128 Il kernel mantiene una tabella dei processi attivi, la cosiddetta
129 \itindex{process~table} \textit{process table}; per ciascun processo viene
130 mantenuta una voce, costituita da una struttura \struct{task\_struct}, nella
131 tabella dei processi che contiene tutte le informazioni rilevanti per quel
132 processo. Tutte le strutture usate a questo scopo sono dichiarate nell'header
133 file \file{linux/sched.h}, ed uno schema semplificato, che riporta la
134 struttura delle principali informazioni contenute nella \struct{task\_struct}
135 (che in seguito incontreremo a più riprese), è mostrato in
136 fig.~\ref{fig:proc_task_struct}.
140 \includegraphics[width=13cm]{img/task_struct}
141 \caption{Schema semplificato dell'architettura delle strutture usate dal
142 kernel nella gestione dei processi.}
143 \label{fig:proc_task_struct}
146 Come accennato in sez.~\ref{sec:intro_unix_struct} è lo
147 \textit{scheduler}\itindex{scheduler} che decide quale processo mettere in
148 esecuzione; esso viene eseguito ad ogni system call ed ad ogni
149 interrupt,\footnote{più in una serie di altre occasioni.}
150 % TODO completare questa parte.
151 (ma può essere anche attivato esplicitamente). Il timer di sistema provvede
152 comunque a che esso sia invocato periodicamente, generando un interrupt
153 periodico secondo la frequenza specificata dalla costante \const{HZ}, definita
154 in \file{asm/param.h}, ed il cui valore è espresso in Hertz.\footnote{Fino al
155 kernel 2.4 l valore usuale di questa costante era 100, per tutte le
156 architetture eccetto l'alpha, per la quale era 1000. Occorre fare attenzione
157 a non confondere questo valore con quello dei clock tick (vedi
158 sez.~\ref{sec:sys_unix_time}).}
159 % TODO verificare gli ultimi cambiamenti del 2.6
160 % Si ha cioè un interrupt dal timer ogni centesimo di secondo.
162 Ogni volta che viene eseguito, lo \textit{scheduler}\itindex{scheduler}
163 effettua il calcolo delle priorità dei vari processi attivi (torneremo su
164 questo in sez.~\ref{sec:proc_priority}) e stabilisce quale di essi debba
165 essere posto in esecuzione fino alla successiva invocazione.
168 \subsection{Una panoramica sulle funzioni fondamentali}
169 \label{sec:proc_handling_intro}
171 In un sistema unix-like i processi vengono sempre creati da altri processi
172 tramite la funzione \func{fork}; il nuovo processo (che viene chiamato
173 \textsl{figlio}) creato dalla \func{fork} è una copia identica del processo
174 processo originale (detto \textsl{padre}), ma ha un nuovo \acr{pid} e viene
175 eseguito in maniera indipendente (le differenze fra padre e figlio sono
176 affrontate in dettaglio in sez.~\ref{sec:proc_fork}).
178 Se si vuole che il processo padre si fermi fino alla conclusione del processo
179 figlio questo deve essere specificato subito dopo la \func{fork} chiamando la
180 funzione \func{wait} o la funzione \func{waitpid} (si veda
181 sez.~\ref{sec:proc_wait}); queste funzioni restituiscono anche un'informazione
182 abbastanza limitata sulle cause della terminazione del processo figlio.
184 Quando un processo ha concluso il suo compito o ha incontrato un errore non
185 risolvibile esso può essere terminato con la funzione \func{exit} (si veda
186 quanto discusso in sez.~\ref{sec:proc_conclusion}). La vita del processo però
187 termina solo quando la notifica della sua conclusione viene ricevuta dal
188 processo padre, a quel punto tutte le risorse allocate nel sistema ad esso
189 associate vengono rilasciate.
191 Avere due processi che eseguono esattamente lo stesso codice non è molto
192 utile, normalmente si genera un secondo processo per affidargli l'esecuzione
193 di un compito specifico (ad esempio gestire una connessione dopo che questa è
194 stata stabilita), o fargli eseguire (come fa la shell) un altro programma. Per
195 quest'ultimo caso si usa la seconda funzione fondamentale per programmazione
196 coi processi che è la \func{exec}.
198 Il programma che un processo sta eseguendo si chiama immagine del processo (o
199 \textit{process image}), le funzioni della famiglia \func{exec} permettono di
200 caricare un altro programma da disco sostituendo quest'ultimo all'immagine
201 corrente; questo fa sì che l'immagine precedente venga completamente
202 cancellata. Questo significa che quando il nuovo programma termina, anche il
203 processo termina, e non si può tornare alla precedente immagine.
205 Per questo motivo la \func{fork} e la \func{exec} sono funzioni molto
206 particolari con caratteristiche uniche rispetto a tutte le altre, infatti la
207 prima ritorna due volte (nel processo padre e nel figlio) mentre la seconda
208 non ritorna mai (in quanto con essa viene eseguito un altro programma).
212 \section{Le funzioni di base}% della gestione dei processi}
213 \label{sec:proc_handling}
215 In questa sezione tratteremo le problematiche della gestione dei processi
216 all'interno del sistema, illustrandone tutti i dettagli. Inizieremo con le
217 funzioni elementari che permettono di leggerne gli identificatori, per poi
218 passare alla spiegazione delle funzioni base che si usano per la creazione e
219 la terminazione dei processi, e per la messa in esecuzione degli altri
223 \subsection{Gli identificatori dei processi}
226 Come accennato nell'introduzione, ogni processo viene identificato dal sistema
227 da un numero identificativo univoco, il \textit{process ID} o \acr{pid};
228 quest'ultimo è un tipo di dato standard, il \type{pid\_t} che in genere è un
229 intero con segno (nel caso di Linux e delle \acr{glibc} il tipo usato è
232 Il \acr{pid} viene assegnato in forma progressiva\footnote{in genere viene
233 assegnato il numero successivo a quello usato per l'ultimo processo creato,
234 a meno che questo numero non sia già utilizzato per un altro \acr{pid},
235 \acr{pgid} o \acr{sid} (vedi sez.~\ref{sec:sess_proc_group}).} ogni volta
236 che un nuovo processo viene creato, fino ad un limite che, essendo il
237 \acr{pid} un numero positivo memorizzato in un intero a 16 bit, arriva ad un
238 massimo di 32768. Oltre questo valore l'assegnazione riparte dal numero più
239 basso disponibile a partire da un minimo di 300,\footnote{questi valori, fino
240 al kernel 2.4.x, sono definiti dalla macro \const{PID\_MAX} in
241 \file{threads.h} e direttamente in \file{fork.c}, con il kernel 2.5.x e la
242 nuova interfaccia per i thread creata da Ingo Molnar anche il meccanismo di
243 allocazione dei \acr{pid} è stato modificato.} che serve a riservare i
244 \acr{pid} più bassi ai processi eseguiti direttamente dal kernel. Per questo
245 motivo, come visto in sez.~\ref{sec:proc_hierarchy}, il processo di avvio
246 (\cmd{init}) ha sempre il \acr{pid} uguale a uno.
248 Tutti i processi inoltre memorizzano anche il \acr{pid} del genitore da cui
249 sono stati creati, questo viene chiamato in genere \acr{ppid} (da
250 \textit{parent process ID}). Questi due identificativi possono essere
251 ottenuti usando le due funzioni \funcd{getpid} e \funcd{getppid}, i cui
254 \headdecl{sys/types.h}
256 \funcdecl{pid\_t getpid(void)}
258 Restituisce il \acr{pid} del processo corrente.
260 \funcdecl{pid\_t getppid(void)}
262 Restituisce il \acr{pid} del padre del processo corrente.
264 \bodydesc{Entrambe le funzioni non riportano condizioni di errore.}
266 \noindent esempi dell'uso di queste funzioni sono riportati in
267 fig.~\ref{fig:proc_fork_code}, nel programma \file{ForkTest.c}.
269 Il fatto che il \acr{pid} sia un numero univoco per il sistema lo rende un
270 candidato per generare ulteriori indicatori associati al processo di cui
271 diventa possibile garantire l'unicità: ad esempio in alcune implementazioni la
272 funzione \func{tempnam} (si veda sez.~\ref{sec:file_temp_file}) usa il
273 \acr{pid} per generare un \itindex{pathname}\textit{pathname} univoco, che non
274 potrà essere replicato da un altro processo che usi la stessa funzione.
276 Tutti i processi figli dello stesso processo padre sono detti
277 \textit{sibling}, questa è una delle relazioni usate nel \textsl{controllo di
278 sessione}, in cui si raggruppano i processi creati su uno stesso terminale,
279 o relativi allo stesso login. Torneremo su questo argomento in dettaglio in
280 cap.~\ref{cha:session}, dove esamineremo gli altri identificativi associati ad
281 un processo e le varie relazioni fra processi utilizzate per definire una
284 Oltre al \acr{pid} e al \acr{ppid}, (e a quelli che vedremo in
285 sez.~\ref{sec:sess_proc_group}, relativi al controllo di sessione), ad ogni
286 processo vengono associati degli altri identificatori che vengono usati per il
287 controllo di accesso. Questi servono per determinare se un processo può
288 eseguire o meno le operazioni richieste, a seconda dei privilegi e
289 dell'identità di chi lo ha posto in esecuzione; l'argomento è complesso e sarà
290 affrontato in dettaglio in sez.~\ref{sec:proc_perms}.
293 \subsection{La funzione \func{fork}}
294 \label{sec:proc_fork}
296 La funzione \funcd{fork} è la funzione fondamentale della gestione dei
297 processi: come si è detto l'unico modo di creare un nuovo processo è
298 attraverso l'uso di questa funzione, essa quindi riveste un ruolo centrale
299 tutte le volte che si devono scrivere programmi che usano il multitasking. Il
300 prototipo della funzione è:
302 \headdecl{sys/types.h}
304 \funcdecl{pid\_t fork(void)}
305 Crea un nuovo processo.
307 \bodydesc{In caso di successo restituisce il \acr{pid} del figlio al padre e
308 zero al figlio; ritorna -1 al padre (senza creare il figlio) in caso di
309 errore; \var{errno} può assumere i valori:
311 \item[\errcode{EAGAIN}] non ci sono risorse sufficienti per creare un altro
312 processo (per allocare la tabella delle pagine e le strutture del task) o
313 si è esaurito il numero di processi disponibili.
314 \item[\errcode{ENOMEM}] non è stato possibile allocare la memoria per le
315 strutture necessarie al kernel per creare il nuovo processo.
319 Dopo il successo dell'esecuzione di una \func{fork} sia il processo padre che
320 il processo figlio continuano ad essere eseguiti normalmente a partire
321 dall'istruzione successiva alla \func{fork}; il processo figlio è però una
322 copia del padre, e riceve una copia dei segmenti di testo, \itindex{stack}
323 stack e dati (vedi sez.~\ref{sec:proc_mem_layout}), ed esegue esattamente lo
324 stesso codice del padre. Si tenga presente però che la memoria è copiata, non
325 condivisa, pertanto padre e figlio vedono variabili diverse.
327 Per quanto riguarda la gestione della memoria, in generale
328 il\index{segmento!testo} segmento di testo, che è identico per i due processi,
329 è condiviso e tenuto in read-only per il padre e per i figli. Per gli altri
330 segmenti Linux utilizza la tecnica del \textit{copy on
331 write}\itindex{copy~on~write}; questa tecnica comporta che una pagina di
332 memoria viene effettivamente copiata per il nuovo processo solo quando ci
333 viene effettuata sopra una scrittura (e si ha quindi una reale differenza fra
334 padre e figlio). In questo modo si rende molto più efficiente il meccanismo
335 della creazione di un nuovo processo, non essendo più necessaria la copia di
336 tutto lo spazio degli indirizzi virtuali del padre, ma solo delle pagine di
337 memoria che sono state modificate, e solo al momento della modifica stessa.
339 La differenza che si ha nei due processi è che nel processo padre il valore di
340 ritorno della funzione \func{fork} è il \acr{pid} del processo figlio, mentre
341 nel figlio è zero; in questo modo il programma può identificare se viene
342 eseguito dal padre o dal figlio. Si noti come la funzione \func{fork} ritorni
343 \textbf{due} volte: una nel padre e una nel figlio.
345 La scelta di questi valori di ritorno non è casuale, un processo infatti può
346 avere più figli, ed il valore di ritorno di \func{fork} è l'unico modo che gli
347 permette di identificare quello appena creato; al contrario un figlio ha
348 sempre un solo padre (il cui \acr{pid} può sempre essere ottenuto con
349 \func{getppid}, vedi sez.~\ref{sec:proc_pid}) per cui si usa il valore nullo,
350 che non è il \acr{pid} di nessun processo.
353 \footnotesize \centering
354 \begin{minipage}[c]{15cm}
355 \includecodesample{listati/ForkTest.c}
358 \caption{Esempio di codice per la creazione di nuovi processi.}
359 \label{fig:proc_fork_code}
362 Normalmente la chiamata a \func{fork} può fallire solo per due ragioni, o ci
363 sono già troppi processi nel sistema (il che di solito è sintomo che
364 qualcos'altro non sta andando per il verso giusto) o si è ecceduto il limite
365 sul numero totale di processi permessi all'utente (vedi
366 sez.~\ref{sec:sys_resource_limit}, ed in particolare
367 tab.~\ref{tab:sys_rlimit_values}).
369 L'uso di \func{fork} avviene secondo due modalità principali; la prima è
370 quella in cui all'interno di un programma si creano processi figli cui viene
371 affidata l'esecuzione di una certa sezione di codice, mentre il processo padre
372 ne esegue un'altra. È il caso tipico dei programmi server (il modello
373 \textit{client-server} è illustrato in sez.~\ref{sec:net_cliserv}) in cui il
374 padre riceve ed accetta le richieste da parte dei programmi client, per
375 ciascuna delle quali pone in esecuzione un figlio che è incaricato di fornire
378 La seconda modalità è quella in cui il processo vuole eseguire un altro
379 programma; questo è ad esempio il caso della shell. In questo caso il processo
380 crea un figlio la cui unica operazione è quella di fare una \func{exec} (di
381 cui parleremo in sez.~\ref{sec:proc_exec}) subito dopo la \func{fork}.
383 Alcuni sistemi operativi (il VMS ad esempio) combinano le operazioni di questa
384 seconda modalità (una \func{fork} seguita da una \func{exec}) in un'unica
385 operazione che viene chiamata \textit{spawn}. Nei sistemi unix-like è stato
386 scelto di mantenere questa separazione, dato che, come per la prima modalità
387 d'uso, esistono numerosi scenari in cui si può usare una \func{fork} senza
388 aver bisogno di eseguire una \func{exec}. Inoltre, anche nel caso della
389 seconda modalità d'uso, avere le due funzioni separate permette al figlio di
390 cambiare gli attributi del processo (maschera dei segnali, redirezione
391 dell'output, identificatori) prima della \func{exec}, rendendo così
392 relativamente facile intervenire sulle le modalità di esecuzione del nuovo
395 In fig.~\ref{fig:proc_fork_code} è riportato il corpo del codice del programma
396 di esempio \cmd{forktest}, che permette di illustrare molte caratteristiche
397 dell'uso della funzione \func{fork}. Il programma crea un numero di figli
398 specificato da linea di comando, e prende anche alcune opzioni per indicare
399 degli eventuali tempi di attesa in secondi (eseguiti tramite la funzione
400 \func{sleep}) per il padre ed il figlio (con \cmd{forktest -h} si ottiene la
401 descrizione delle opzioni); il codice completo, compresa la parte che gestisce
402 le opzioni a riga di comando, è disponibile nel file \file{ForkTest.c},
403 distribuito insieme agli altri sorgenti degli esempi su
404 \href{http://gapil.truelite.it/gapil_source.tgz}
405 {\textsf{http://gapil.truelite.it/gapil\_source.tgz}}.
407 Decifrato il numero di figli da creare, il ciclo principale del programma
408 (\texttt{\small 24--40}) esegue in successione la creazione dei processi figli
409 controllando il successo della chiamata a \func{fork} (\texttt{\small
410 25--29}); ciascun figlio (\texttt{\small 31--34}) si limita a stampare il
411 suo numero di successione, eventualmente attendere il numero di secondi
412 specificato e scrivere un messaggio prima di uscire. Il processo padre invece
413 (\texttt{\small 36--38}) stampa un messaggio di creazione, eventualmente
414 attende il numero di secondi specificato, e procede nell'esecuzione del ciclo;
415 alla conclusione del ciclo, prima di uscire, può essere specificato un altro
418 Se eseguiamo il comando\footnote{che è preceduto dall'istruzione \code{export
419 LD\_LIBRARY\_PATH=./} per permettere l'uso delle librerie dinamiche.}
420 senza specificare attese (come si può notare in (\texttt{\small 17--19}) i
421 valori predefiniti specificano di non attendere), otterremo come output sul
426 [piccardi@selidor sources]$ export LD_LIBRARY_PATH=./; ./forktest 3
427 Process 1963: forking 3 child
428 Spawned 1 child, pid 1964
429 Child 1 successfully executing
430 Child 1, parent 1963, exiting
432 Spawned 2 child, pid 1965
433 Child 2 successfully executing
434 Child 2, parent 1963, exiting
436 Child 3 successfully executing
437 Child 3, parent 1963, exiting
438 Spawned 3 child, pid 1966
443 Esaminiamo questo risultato: una prima conclusione che si può trarre è che non
444 si può dire quale processo fra il padre ed il figlio venga eseguito per
445 primo\footnote{a partire dal kernel 2.5.2-pre10 è stato introdotto il nuovo
446 scheduler\itindex{scheduler} di Ingo Molnar che esegue sempre per primo il
447 figlio; per mantenere la portabilità è opportuno non fare comunque
448 affidamento su questo comportamento.} dopo la chiamata a \func{fork};
449 dall'esempio si può notare infatti come nei primi due cicli sia stato eseguito
450 per primo il padre (con la stampa del \acr{pid} del nuovo processo) per poi
451 passare all'esecuzione del figlio (completata con i due avvisi di esecuzione
452 ed uscita), e tornare all'esecuzione del padre (con la stampa del passaggio al
453 ciclo successivo), mentre la terza volta è stato prima eseguito il figlio
454 (fino alla conclusione) e poi il padre.
456 In generale l'ordine di esecuzione dipenderà, oltre che dall'algoritmo di
457 scheduling usato dal kernel, dalla particolare situazione in cui si trova la
458 macchina al momento della chiamata, risultando del tutto impredicibile.
459 Eseguendo più volte il programma di prova e producendo un numero diverso di
460 figli, si sono ottenute situazioni completamente diverse, compreso il caso in
461 cui il processo padre ha eseguito più di una \func{fork} prima che uno dei
462 figli venisse messo in esecuzione.
464 Pertanto non si può fare nessuna assunzione sulla sequenza di esecuzione delle
465 istruzioni del codice fra padre e figli, né sull'ordine in cui questi potranno
466 essere messi in esecuzione. Se è necessaria una qualche forma di precedenza
467 occorrerà provvedere ad espliciti meccanismi di sincronizzazione, pena il
468 rischio di incorrere nelle cosiddette \textit{race
469 condition}\itindex{race~condition} (vedi sez.~\ref{sec:proc_race_cond}).
471 Si noti inoltre che essendo i segmenti di memoria utilizzati dai singoli
472 processi completamente separati, le modifiche delle variabili nei processi
473 figli (come l'incremento di \var{i} in \texttt{\small 31}) sono visibili solo
474 a loro (ogni processo vede solo la propria copia della memoria), e non hanno
475 alcun effetto sul valore che le stesse variabili hanno nel processo padre (ed
476 in eventuali altri processi figli che eseguano lo stesso codice).
478 Un secondo aspetto molto importante nella creazione dei processi figli è
479 quello dell'interazione dei vari processi con i file; per illustrarlo meglio
480 proviamo a redirigere su un file l'output del nostro programma di test, quello
485 [piccardi@selidor sources]$ ./forktest 3 > output
486 [piccardi@selidor sources]$ cat output
487 Process 1967: forking 3 child
488 Child 1 successfully executing
489 Child 1, parent 1967, exiting
490 Test for forking 3 child
491 Spawned 1 child, pid 1968
493 Child 2 successfully executing
494 Child 2, parent 1967, exiting
495 Test for forking 3 child
496 Spawned 1 child, pid 1968
498 Spawned 2 child, pid 1969
500 Child 3 successfully executing
501 Child 3, parent 1967, exiting
502 Test for forking 3 child
503 Spawned 1 child, pid 1968
505 Spawned 2 child, pid 1969
507 Spawned 3 child, pid 1970
511 che come si vede è completamente diverso da quanto ottenevamo sul terminale.
513 Il comportamento delle varie funzioni di interfaccia con i file è analizzato
514 in gran dettaglio in cap.~\ref{cha:file_unix_interface} e in
515 cap.~\ref{cha:files_std_interface}. Qui basta accennare che si sono usate le
516 funzioni standard della libreria del C che prevedono l'output bufferizzato; e
517 questa bufferizzazione (trattata in dettaglio in sez.~\ref{sec:file_buffering})
518 varia a seconda che si tratti di un file su disco (in cui il buffer viene
519 scaricato su disco solo quando necessario) o di un terminale (nel qual caso il
520 buffer viene scaricato ad ogni carattere di a capo).
522 Nel primo esempio allora avevamo che ad ogni chiamata a \func{printf} il
523 buffer veniva scaricato, e le singole righe erano stampate a video subito dopo
524 l'esecuzione della \func{printf}. Ma con la redirezione su file la scrittura
525 non avviene più alla fine di ogni riga e l'output resta nel buffer. Dato che
526 ogni figlio riceve una copia della memoria del padre, esso riceverà anche
527 quanto c'è nel buffer delle funzioni di I/O, comprese le linee scritte dal
528 padre fino allora. Così quando il buffer viene scritto su disco all'uscita del
529 figlio, troveremo nel file anche tutto quello che il processo padre aveva
530 scritto prima della sua creazione. E alla fine del file (dato che in questo
531 caso il padre esce per ultimo) troveremo anche l'output completo del padre.
533 L'esempio ci mostra un altro aspetto fondamentale dell'interazione con i file,
534 valido anche per l'esempio precedente, ma meno evidente: il fatto cioè che non
535 solo processi diversi possono scrivere in contemporanea sullo stesso file
536 (l'argomento della condivisione dei file è trattato in dettaglio in
537 sez.~\ref{sec:file_sharing}), ma anche che, a differenza di quanto avviene per
538 le variabili, la posizione corrente sul file è condivisa fra il padre e tutti
541 Quello che succede è che quando lo standard output del padre viene rediretto,
542 lo stesso avviene anche per tutti i figli; la funzione \func{fork} infatti ha
543 la caratteristica di duplicare nei figli tutti i file descriptor aperti nel
544 padre (allo stesso modo in cui lo fa la funzione \func{dup}, trattata in
545 sez.~\ref{sec:file_dup}), il che comporta che padre e figli condividono le
546 stesse voci della \textit{file table} (per la spiegazione di questi termini si
547 veda sez.~\ref{sec:file_sharing}) fra cui c'è anche la posizione corrente nel
550 In questo modo se un processo scrive sul file aggiornerà la posizione corrente
551 sulla \textit{file table}, e tutti gli altri processi, che vedono la stessa
552 \textit{file table}, vedranno il nuovo valore. In questo modo si evita, in
553 casi come quello appena mostrato in cui diversi processi scrivono sullo stesso
554 file, che l'output successivo di un processo vada a sovrapporsi a quello dei
555 precedenti: l'output potrà risultare mescolato, ma non ci saranno parti
556 perdute per via di una sovrascrittura.
558 Questo tipo di comportamento è essenziale in tutti quei casi in cui il padre
559 crea un figlio e attende la sua conclusione per proseguire, ed entrambi
560 scrivono sullo stesso file (un caso tipico è la shell quando lancia un
561 programma, il cui output va sullo standard output).
563 In questo modo, anche se l'output viene rediretto, il padre potrà sempre
564 continuare a scrivere in coda a quanto scritto dal figlio in maniera
565 automatica; se così non fosse ottenere questo comportamento sarebbe
566 estremamente complesso necessitando di una qualche forma di comunicazione fra
567 i due processi per far riprendere al padre la scrittura al punto giusto.
569 In generale comunque non è buona norma far scrivere più processi sullo stesso
570 file senza una qualche forma di sincronizzazione in quanto, come visto anche
571 con il nostro esempio, le varie scritture risulteranno mescolate fra loro in
572 una sequenza impredicibile. Per questo le modalità con cui in genere si usano
573 i file dopo una \func{fork} sono sostanzialmente due:
575 \item Il processo padre aspetta la conclusione del figlio. In questo caso non
576 è necessaria nessuna azione riguardo ai file, in quanto la sincronizzazione
577 della posizione corrente dopo eventuali operazioni di lettura e scrittura
578 effettuate dal figlio è automatica.
579 \item L'esecuzione di padre e figlio procede indipendentemente. In questo caso
580 ciascuno dei due processi deve chiudere i file che non gli servono una volta
581 che la \func{fork} è stata eseguita, per evitare ogni forma di interferenza.
584 Oltre ai file aperti i processi figli ereditano dal padre una serie di altre
585 proprietà; la lista dettagliata delle proprietà che padre e figlio hanno in
586 comune dopo l'esecuzione di una \func{fork} è la seguente:
588 \item i file aperti e gli eventuali flag di
589 \textit{close-on-exec}\itindex{close-on-exec} impostati (vedi
590 sez.~\ref{sec:proc_exec} e sez.~\ref{sec:file_fcntl});
591 \item gli identificatori per il controllo di accesso: l'\textsl{user-ID
592 reale}, il \textsl{group-ID reale}, l'\textsl{user-ID effettivo}, il
593 \textsl{group-ID effettivo} ed i \textit{group-ID supplementari} (vedi
594 sez.~\ref{sec:proc_access_id});
595 \item gli identificatori per il controllo di sessione: il \textit{process
596 group-ID} e il \textit{session id} ed il terminale di controllo (vedi
597 sez.~\ref{sec:sess_proc_group});
598 \item la directory di lavoro e la directory radice (vedi
599 sez.~\ref{sec:file_work_dir} e sez.~\ref{sec:file_chroot});
600 \item la maschera dei permessi di creazione (vedi sez.~\ref{sec:file_umask});
601 \item la maschera dei segnali bloccati (vedi sez.~\ref{sec:sig_sigmask}) e le
602 azioni installate (vedi sez.~\ref{sec:sig_gen_beha});
603 \item i segmenti di memoria condivisa agganciati al processo (vedi
604 sez.~\ref{sec:ipc_sysv_shm});
605 \item i limiti sulle risorse (vedi sez.~\ref{sec:sys_resource_limit});
606 \item le priorità real-time e le affinità di processore (vedi
607 sez.~\ref{sec:proc_real_time});
608 \item le variabili di ambiente (vedi sez.~\ref{sec:proc_environ}).
610 Le differenze fra padre e figlio dopo la \func{fork} invece sono:
612 \item il valore di ritorno di \func{fork};
613 \item il \acr{pid} (\textit{process id});
614 \item il \acr{ppid} (\textit{parent process id}), quello del figlio viene
615 impostato al \acr{pid} del padre;
616 \item i valori dei tempi di esecuzione della struttura \struct{tms} (vedi
617 sez.~\ref{sec:sys_cpu_times}) che nel figlio sono posti a zero;
618 \item i \textit{lock} sui file (vedi sez.~\ref{sec:file_locking}), che non
619 vengono ereditati dal figlio;
620 \item gli allarmi ed i segnali pendenti (vedi sez.~\ref{sec:sig_gen_beha}), che
621 per il figlio vengono cancellati.
625 \subsection{La funzione \func{vfork}}
626 \label{sec:proc_vfork}
628 La funzione \func{vfork} è esattamente identica a \func{fork} ed ha la stessa
629 semantica e gli stessi errori; la sola differenza è che non viene creata la
630 tabella delle pagine né la struttura dei task per il nuovo processo. Il
631 processo padre è posto in attesa fintanto che il figlio non ha eseguito una
632 \func{execve} o non è uscito con una \func{\_exit}. Il figlio condivide la
633 memoria del padre (e modifiche possono avere effetti imprevedibili) e non deve
634 ritornare o uscire con \func{exit} ma usare esplicitamente \func{\_exit}.
636 Questa funzione è un rimasuglio dei vecchi tempi in cui eseguire una
637 \func{fork} comportava anche la copia completa del segmento dati del processo
638 padre, che costituiva un inutile appesantimento in tutti quei casi in cui la
639 \func{fork} veniva fatta solo per poi eseguire una \func{exec}. La funzione
640 venne introdotta in BSD per migliorare le prestazioni.
642 Dato che Linux supporta il \textit{copy on write}\itindex{copy~on~write} la
643 perdita di prestazioni è assolutamente trascurabile, e l'uso di questa
644 funzione (che resta un caso speciale della system call \func{\_\_clone}) è
645 deprecato; per questo eviteremo di trattarla ulteriormente.
648 \subsection{La conclusione di un processo}
649 \label{sec:proc_termination}
651 In sez.~\ref{sec:proc_conclusion} abbiamo già affrontato le modalità con cui
652 chiudere un programma, ma dall'interno del programma stesso; avendo a che fare
653 con un sistema multitasking resta da affrontare l'argomento dal punto di vista
654 di come il sistema gestisce la conclusione dei processi.
656 Abbiamo visto in sez.~\ref{sec:proc_conclusion} le tre modalità con cui un
657 programma viene terminato in maniera normale: la chiamata di \func{exit} (che
658 esegue le funzioni registrate per l'uscita e chiude gli stream), il ritorno
659 dalla funzione \func{main} (equivalente alla chiamata di \func{exit}), e la
660 chiamata ad \func{\_exit} (che passa direttamente alle operazioni di
661 terminazione del processo da parte del kernel).
663 Ma abbiamo accennato che oltre alla conclusione normale esistono anche delle
664 modalità di conclusione anomala; queste sono in sostanza due: il programma può
665 chiamare la funzione \func{abort} per invocare una chiusura anomala, o essere
666 terminato da un segnale. In realtà anche la prima modalità si riconduce alla
667 seconda, dato che \func{abort} si limita a generare il segnale
670 Qualunque sia la modalità di conclusione di un processo, il kernel esegue
671 comunque una serie di operazioni: chiude tutti i file aperti, rilascia la
672 memoria che stava usando, e così via; l'elenco completo delle operazioni
673 eseguite alla chiusura di un processo è il seguente:
675 \item tutti i file descriptor sono chiusi;
676 \item viene memorizzato lo stato di terminazione del processo;
677 \item ad ogni processo figlio viene assegnato un nuovo padre (in genere
679 \item viene inviato il segnale \const{SIGCHLD} al processo padre (vedi
680 sez.~\ref{sec:sig_sigchld});
681 \item se il processo è un leader di sessione ed il suo terminale di controllo
682 è quello della sessione viene mandato un segnale di \const{SIGHUP} a tutti i
683 processi del gruppo di \textit{foreground} e il terminale di controllo viene
684 disconnesso (vedi sez.~\ref{sec:sess_ctrl_term});
685 \item se la conclusione di un processo rende orfano un \textit{process
686 group} ciascun membro del gruppo viene bloccato, e poi gli vengono
687 inviati in successione i segnali \const{SIGHUP} e \const{SIGCONT}
688 (vedi ancora sez.~\ref{sec:sess_ctrl_term}).
691 Oltre queste operazioni è però necessario poter disporre di un meccanismo
692 ulteriore che consenta di sapere come la terminazione è avvenuta: dato che in
693 un sistema unix-like tutto viene gestito attraverso i processi, il meccanismo
694 scelto consiste nel riportare lo stato di terminazione (il cosiddetto
695 \textit{termination status}) al processo padre.
697 Nel caso di conclusione normale, abbiamo visto in
698 sez.~\ref{sec:proc_conclusion} che lo stato di uscita del processo viene
699 caratterizzato tramite il valore del cosiddetto \textit{exit status}, cioè il
700 valore passato alle funzioni \func{exit} o \func{\_exit} (o dal valore di
701 ritorno per \func{main}). Ma se il processo viene concluso in maniera anomala
702 il programma non può specificare nessun \textit{exit status}, ed è il kernel
703 che deve generare autonomamente il \textit{termination status} per indicare le
704 ragioni della conclusione anomala.
706 Si noti la distinzione fra \textit{exit status} e \textit{termination status}:
707 quello che contraddistingue lo stato di chiusura del processo e viene
708 riportato attraverso le funzioni \func{wait} o \func{waitpid} (vedi
709 sez.~\ref{sec:proc_wait}) è sempre quest'ultimo; in caso di conclusione normale
710 il kernel usa il primo (nel codice eseguito da \func{\_exit}) per produrre il
713 La scelta di riportare al padre lo stato di terminazione dei figli, pur
714 essendo l'unica possibile, comporta comunque alcune complicazioni: infatti se
715 alla sua creazione è scontato che ogni nuovo processo ha un padre, non è detto
716 che sia così alla sua conclusione, dato che il padre potrebbe essere già
717 terminato (si potrebbe avere cioè quello che si chiama un processo
720 Questa complicazione viene superata facendo in modo che il processo orfano
721 venga \textsl{adottato} da \cmd{init}. Come già accennato quando un processo
722 termina, il kernel controlla se è il padre di altri processi in esecuzione: in
723 caso positivo allora il \acr{ppid} di tutti questi processi viene sostituito
724 con il \acr{pid} di \cmd{init} (e cioè con 1); in questo modo ogni processo
725 avrà sempre un padre (nel caso possiamo parlare di un padre \textsl{adottivo})
726 cui riportare il suo stato di terminazione. Come verifica di questo
727 comportamento possiamo eseguire il nostro programma \cmd{forktest} imponendo a
728 ciascun processo figlio due secondi di attesa prima di uscire, il risultato è:
732 [piccardi@selidor sources]$ ./forktest -c2 3
733 Process 1972: forking 3 child
734 Spawned 1 child, pid 1973
735 Child 1 successfully executing
737 Spawned 2 child, pid 1974
738 Child 2 successfully executing
740 Child 3 successfully executing
741 Spawned 3 child, pid 1975
743 [piccardi@selidor sources]$ Child 3, parent 1, exiting
744 Child 2, parent 1, exiting
745 Child 1, parent 1, exiting
748 come si può notare in questo caso il processo padre si conclude prima dei
749 figli, tornando alla shell, che stampa il prompt sul terminale: circa due
750 secondi dopo viene stampato a video anche l'output dei tre figli che
751 terminano, e come si può notare in questo caso, al contrario di quanto visto
752 in precedenza, essi riportano 1 come \acr{ppid}.
754 Altrettanto rilevante è il caso in cui il figlio termina prima del padre,
755 perché non è detto che il padre possa ricevere immediatamente lo stato di
756 terminazione, quindi il kernel deve comunque conservare una certa quantità di
757 informazioni riguardo ai processi che sta terminando.
759 Questo viene fatto mantenendo attiva la voce nella tabella dei processi, e
760 memorizzando alcuni dati essenziali, come il \acr{pid}, i tempi di CPU usati
761 dal processo (vedi sez.~\ref{sec:sys_unix_time}) e lo stato di terminazione,
762 mentre la memoria in uso ed i file aperti vengono rilasciati immediatamente. I
763 processi che sono terminati, ma il cui stato di terminazione non è stato
764 ancora ricevuto dal padre sono chiamati \textit{zombie}\index{zombie}, essi
765 restano presenti nella tabella dei processi ed in genere possono essere
766 identificati dall'output di \cmd{ps} per la presenza di una \texttt{Z} nella
767 colonna che ne indica lo stato (vedi tab.~\ref{tab:proc_proc_states}). Quando
768 il padre effettuerà la lettura dello stato di uscita anche questa
769 informazione, non più necessaria, verrà scartata e la terminazione potrà dirsi
770 completamente conclusa.
772 Possiamo utilizzare il nostro programma di prova per analizzare anche questa
773 condizione: lanciamo il comando \cmd{forktest} in \textit{background} (vedi
774 sez.~\ref{sec:sess_job_control}), indicando al processo padre di aspettare 10
775 secondi prima di uscire; in questo caso, usando \cmd{ps} sullo stesso
776 terminale (prima dello scadere dei 10 secondi) otterremo:
780 [piccardi@selidor sources]$ ps T
781 PID TTY STAT TIME COMMAND
782 419 pts/0 S 0:00 bash
783 568 pts/0 S 0:00 ./forktest -e10 3
784 569 pts/0 Z 0:00 [forktest <defunct>]
785 570 pts/0 Z 0:00 [forktest <defunct>]
786 571 pts/0 Z 0:00 [forktest <defunct>]
787 572 pts/0 R 0:00 ps T
789 \normalsize e come si vede, dato che non si è fatto nulla per riceverne lo
790 stato di terminazione, i tre processi figli sono ancora presenti pur essendosi
791 conclusi, con lo stato di zombie\index{zombie} e l'indicazione che sono stati
794 La possibilità di avere degli zombie\index{zombie} deve essere tenuta sempre
795 presente quando si scrive un programma che deve essere mantenuto in esecuzione
796 a lungo e creare molti figli. In questo caso si deve sempre avere cura di far
797 leggere l'eventuale stato di uscita di tutti i figli (in genere questo si fa
798 attraverso un apposito \textit{signal handler}, che chiama la funzione
799 \func{wait}, vedi sez.~\ref{sec:sig_sigchld} e sez.~\ref{sec:proc_wait}).
800 Questa operazione è necessaria perché anche se gli
801 \textit{zombie}\index{zombie} non consumano risorse di memoria o processore,
802 occupano comunque una voce nella tabella dei processi, che a lungo andare
805 Si noti che quando un processo adottato da \cmd{init} termina, esso non
806 diviene uno \textit{zombie}\index{zombie}; questo perché una delle funzioni di
807 \cmd{init} è appunto quella di chiamare la funzione \func{wait} per i processi
808 cui fa da padre, completandone la terminazione. Questo è quanto avviene anche
809 quando, come nel caso del precedente esempio con \cmd{forktest}, il padre
810 termina con dei figli in stato di zombie\index{zombie}: alla sua terminazione
811 infatti tutti i suoi figli (compresi gli zombie\index{zombie}) verranno
812 adottati da \cmd{init}, il quale provvederà a completarne la terminazione.
814 Si tenga presente infine che siccome gli zombie\index{zombie} sono processi
815 già usciti, non c'è modo di eliminarli con il comando \cmd{kill}; l'unica
816 possibilità di cancellarli dalla tabella dei processi è quella di terminare il
817 processo che li ha generati, in modo che \cmd{init} possa adottarli e
818 provvedere a concluderne la terminazione.
821 \subsection{Le funzioni \func{wait} e \func{waitpid}}
822 \label{sec:proc_wait}
824 Uno degli usi più comuni delle capacità multitasking di un sistema unix-like
825 consiste nella creazione di programmi di tipo server, in cui un processo
826 principale attende le richieste che vengono poi soddisfatte da una serie di
827 processi figli. Si è già sottolineato al paragrafo precedente come in questo
828 caso diventi necessario gestire esplicitamente la conclusione dei figli onde
829 evitare di riempire di \textit{zombie}\index{zombie} la tabella dei processi;
830 le funzioni deputate a questo compito sono sostanzialmente due, \funcd{wait} e
831 \func{waitpid}. La prima, il cui prototipo è:
833 \headdecl{sys/types.h}
834 \headdecl{sys/wait.h}
835 \funcdecl{pid\_t wait(int *status)}
837 Sospende il processo corrente finché un figlio non è uscito, o finché un
838 segnale termina il processo o chiama una funzione di gestione.
840 \bodydesc{La funzione restituisce il \acr{pid} del figlio in caso di successo
841 e -1 in caso di errore; \var{errno} può assumere i valori:
843 \item[\errcode{EINTR}] la funzione è stata interrotta da un segnale.
847 è presente fin dalle prime versioni di Unix; la funzione ritorna non appena un
848 processo figlio termina. Se un figlio è già terminato la funzione ritorna
849 immediatamente, se più di un figlio è terminato occorre chiamare la funzione
850 più volte se si vuole recuperare lo stato di terminazione di tutti quanti.
852 Al ritorno della funzione lo stato di terminazione del figlio viene salvato
853 nella variabile puntata da \param{status} e tutte le risorse del kernel
854 relative al processo (vedi sez.~\ref{sec:proc_termination}) vengono rilasciate.
855 Nel caso un processo abbia più figli il valore di ritorno (il \acr{pid} del
856 figlio) permette di identificare qual è quello che è uscito.
858 Questa funzione ha il difetto di essere poco flessibile, in quanto ritorna
859 all'uscita di un qualunque processo figlio. Nelle occasioni in cui è
860 necessario attendere la conclusione di un processo specifico occorrerebbe
861 predisporre un meccanismo che tenga conto dei processi già terminati, e
862 provvedere a ripetere la chiamata alla funzione nel caso il processo cercato
865 Per questo motivo lo standard POSIX.1 ha introdotto la funzione
866 \funcd{waitpid} che effettua lo stesso servizio, ma dispone di una serie di
867 funzionalità più ampie, legate anche al controllo di sessione (si veda
868 sez.~\ref{sec:sess_job_control}). Dato che è possibile ottenere lo stesso
869 comportamento di \func{wait} si consiglia di utilizzare sempre questa
870 funzione, il cui prototipo è:
872 \headdecl{sys/types.h}
873 \headdecl{sys/wait.h}
874 \funcdecl{pid\_t waitpid(pid\_t pid, int *status, int options)}
875 Attende la conclusione di un processo figlio.
877 \bodydesc{La funzione restituisce il \acr{pid} del processo che è uscito, 0 se
878 è stata specificata l'opzione \const{WNOHANG} e il processo non è uscito e
879 -1 per un errore, nel qual caso \var{errno} assumerà i valori:
881 \item[\errcode{EINTR}] se non è stata specificata l'opzione \const{WNOHANG} e
882 la funzione è stata interrotta da un segnale.
883 \item[\errcode{ECHILD}] il processo specificato da \param{pid} non esiste o
884 non è figlio del processo chiamante.
888 Le differenze principali fra le due funzioni sono che \func{wait} si blocca
889 sempre fino a che un processo figlio non termina, mentre \func{waitpid} ha la
890 possibilità si specificare un'opzione \const{WNOHANG} che ne previene il
891 blocco; inoltre \func{waitpid} può specificare in maniera flessibile quale
892 processo attendere, sulla base del valore fornito dall'argomento \param{pid},
893 secondo lo specchietto riportato in tab.~\ref{tab:proc_waidpid_pid}.
898 \begin{tabular}[c]{|c|c|p{8cm}|}
900 \textbf{Valore} & \textbf{Opzione} &\textbf{Significato}\\
903 $<-1$& -- & attende per un figlio il cui
904 \itindex{process~group} \textit{process group}
905 (vedi sez.~\ref{sec:sess_proc_group}) è uguale
906 al valore assoluto di \param{pid}. \\
907 $-1$& \const{WAIT\_ANY} & attende per un figlio qualsiasi, usata in
908 questa maniera è equivalente a \func{wait}.\\
909 $0$ &\const{WAIT\_MYPGRP}&attende per un figlio il cui
910 \itindex{process~group} \textit{process group} è
911 uguale a quello del processo chiamante. \\
912 $>0$& -- & attende per un figlio il cui \acr{pid} è uguale
913 al valore di \param{pid}.\\
916 \caption{Significato dei valori dell'argomento \param{pid} della funzione
918 \label{tab:proc_waidpid_pid}
921 Il comportamento di \func{waitpid} può inoltre essere modificato passando
922 delle opportune opzioni tramite l'argomento \param{option}. I valori possibili
923 sono il già citato \const{WNOHANG}, che previene il blocco della funzione
924 quando il processo figlio non è terminato, e \const{WUNTRACED} che permette di
925 tracciare i processi bloccati. Il valore dell'opzione deve essere specificato
926 come maschera binaria ottenuta con l'OR delle suddette costanti con zero.
928 In genere si utilizza \const{WUNTRACED} all'interno del controllo di sessione,
929 (l'argomento è trattato in sez.~\ref{sec:sess_job_control}). In tal caso
930 infatti la funzione ritorna, restituendone il \acr{pid}, quando c'è un
931 processo figlio che è entrato in stato di sleep (vedi
932 tab.~\ref{tab:proc_proc_states}) e del quale non si è ancora letto lo stato
933 (con questa stessa opzione). In Linux sono previste altre opzioni non standard
934 relative al comportamento con i thread, che riprenderemo in
935 sez.~\ref{sec:thread_xxx}.
937 La terminazione di un processo figlio è chiaramente un evento asincrono
938 rispetto all'esecuzione di un programma e può avvenire in un qualunque
939 momento. Per questo motivo, come accennato nella sezione precedente, una delle
940 azioni prese dal kernel alla conclusione di un processo è quella di mandare un
941 segnale di \const{SIGCHLD} al padre. L'azione predefinita (si veda
942 sez.~\ref{sec:sig_base}) per questo segnale è di essere ignorato, ma la sua
943 generazione costituisce il meccanismo di comunicazione asincrona con cui il
944 kernel avverte il processo padre che uno dei suoi figli è terminato.
946 In genere in un programma non si vuole essere forzati ad attendere la
947 conclusione di un processo per proseguire, specie se tutto questo serve solo
948 per leggerne lo stato di chiusura (ed evitare la presenza di
949 \textit{zombie}\index{zombie}), per questo la modalità più usata per chiamare
950 queste funzioni è quella di utilizzarle all'interno di un \textit{signal
951 handler} (vedremo un esempio di come gestire \const{SIGCHLD} con i segnali
952 in sez.~\ref{sec:sig_example}). In questo caso infatti, dato che il segnale è
953 generato dalla terminazione di un figlio, avremo la certezza che la chiamata a
954 \func{wait} non si bloccherà.
959 \begin{tabular}[c]{|c|p{10cm}|}
961 \textbf{Macro} & \textbf{Descrizione}\\
964 \macro{WIFEXITED(s)} & Condizione vera (valore non nullo) per un processo
965 figlio che sia terminato normalmente. \\
966 \macro{WEXITSTATUS(s)} & Restituisce gli otto bit meno significativi dello
967 stato di uscita del processo (passato attraverso
968 \func{\_exit}, \func{exit} o come valore di
969 ritorno di \func{main}). Può essere valutata solo
970 se \val{WIFEXITED} ha restituito un valore non
972 \macro{WIFSIGNALED(s)} & Vera se il processo figlio è terminato
973 in maniera anomala a causa di un segnale che non
974 è stato catturato (vedi
975 sez.~\ref{sec:sig_notification}).\\
976 \macro{WTERMSIG(s)} & Restituisce il numero del segnale che ha causato
977 la terminazione anomala del processo. Può essere
978 valutata solo se \val{WIFSIGNALED} ha restituito
979 un valore non nullo.\\
980 \macro{WCOREDUMP(s)} & Vera se il processo terminato ha generato un
981 file di \itindex{core~dump}\textit{core
982 dump}. Può essere valutata solo se
983 \val{WIFSIGNALED} ha restituito un valore non
984 nullo.\footnotemark \\
985 \macro{WIFSTOPPED(s)} & Vera se il processo che ha causato il ritorno di
986 \func{waitpid} è bloccato. L'uso è possibile solo
987 avendo specificato l'opzione \const{WUNTRACED}. \\
988 \macro{WSTOPSIG(s)} & Restituisce il numero del segnale che ha bloccato
989 il processo. Può essere valutata solo se
990 \val{WIFSTOPPED} ha restituito un valore non
994 \caption{Descrizione delle varie macro di preprocessore utilizzabili per
995 verificare lo stato di terminazione \var{s} di un processo.}
996 \label{tab:proc_status_macro}
999 \footnotetext{questa macro non è definita dallo standard POSIX.1, ma è
1000 presente come estensione sia in Linux che in altri Unix.}
1002 Entrambe le funzioni di attesa restituiscono lo stato di terminazione del
1003 processo tramite il puntatore \param{status} (se non interessa memorizzare
1004 lo stato si può passare un puntatore nullo). Il valore restituito da
1005 entrambe le funzioni dipende dall'implementazione, e tradizionalmente alcuni
1006 bit (in genere 8) sono riservati per memorizzare lo stato di uscita, e altri
1007 per indicare il segnale che ha causato la terminazione (in caso di
1008 conclusione anomala), uno per indicare se è stato generato un
1009 \itindex{core~dump}\textit{core dump}, ecc.\footnote{le definizioni esatte
1010 si possono trovare in \file{<bits/waitstatus.h>} ma questo file non deve
1011 mai essere usato direttamente, esso viene incluso attraverso
1012 \file{<sys/wait.h>}.}
1014 Lo standard POSIX.1 definisce una serie di macro di preprocessore da usare per
1015 analizzare lo stato di uscita. Esse sono definite sempre in
1016 \file{<sys/wait.h>} ed elencate in tab.~\ref{tab:proc_status_macro} (si tenga
1017 presente che queste macro prendono come parametro la variabile di tipo
1018 \ctyp{int} puntata da \param{status}).
1020 Si tenga conto che nel caso di conclusione anomala il valore restituito da
1021 \val{WTERMSIG} può essere confrontato con le costanti definite in
1022 \file{signal.h} ed elencate in tab.~\ref{tab:sig_signal_list}, e stampato
1023 usando le apposite funzioni trattate in sez.~\ref{sec:sig_strsignal}.
1026 \subsection{Le funzioni \func{wait3} e \func{wait4}}
1027 \label{sec:proc_wait4}
1029 Linux, seguendo un'estensione di BSD, supporta altre due funzioni per la
1030 lettura dello stato di terminazione di un processo, analoghe alle precedenti
1031 ma che prevedono un ulteriore argomento attraverso il quale il kernel può
1032 restituire al padre informazioni sulle risorse usate dal processo terminato e
1033 dai vari figli. Le due funzioni sono \funcd{wait3} e \funcd{wait4}, che
1034 diventano accessibili definendo la macro \macro{\_USE\_BSD}; i loro prototipi
1037 \headdecl{sys/times.h} \headdecl{sys/types.h} \headdecl{sys/wait.h}
1038 \headdecl{sys/resource.h}
1040 \funcdecl{pid\_t wait4(pid\_t pid, int *status, int options, struct rusage
1042 È identica a \func{waitpid} sia per comportamento che per i valori degli
1043 argomenti, ma restituisce in \param{rusage} un sommario delle risorse usate
1046 \funcdecl{pid\_t wait3(int *status, int options, struct rusage *rusage)}
1047 Prima versione, equivalente a \code{wait4(-1, \&status, opt, rusage)} è
1048 ormai deprecata in favore di \func{wait4}.
1051 la struttura \struct{rusage} è definita in \file{sys/resource.h}, e viene
1052 utilizzata anche dalla funzione \func{getrusage} (vedi
1053 sez.~\ref{sec:sys_resource_use}) per ottenere le risorse di sistema usate da un
1054 processo; la sua definizione è riportata in fig.~\ref{fig:sys_rusage_struct}.
1057 \subsection{Le funzioni \func{exec}}
1058 \label{sec:proc_exec}
1060 Abbiamo già detto che una delle modalità principali con cui si utilizzano i
1061 processi in Unix è quella di usarli per lanciare nuovi programmi: questo viene
1062 fatto attraverso una delle funzioni della famiglia \func{exec}. Quando un
1063 processo chiama una di queste funzioni esso viene completamente sostituito dal
1064 nuovo programma; il \acr{pid} del processo non cambia, dato che non viene
1065 creato un nuovo processo, la funzione semplicemente rimpiazza lo
1066 \itindex{stack} stack, lo \itindex{heap} heap, i dati ed il testo del processo
1067 corrente con un nuovo programma letto da disco.
1069 Ci sono sei diverse versioni di \func{exec} (per questo la si è chiamata
1070 famiglia di funzioni) che possono essere usate per questo compito, in realtà
1071 (come mostrato in fig.~\ref{fig:proc_exec_relat}), sono tutte un front-end a
1072 \funcd{execve}. Il prototipo di quest'ultima è:
1073 \begin{prototype}{unistd.h}
1074 {int execve(const char *filename, char *const argv[], char *const envp[])}
1075 Esegue il programma contenuto nel file \param{filename}.
1077 \bodydesc{La funzione ritorna solo in caso di errore, restituendo -1; nel
1078 qual caso \var{errno} può assumere i valori:
1080 \item[\errcode{EACCES}] il file non è eseguibile, oppure il filesystem è
1081 montato in \cmd{noexec}, oppure non è un file regolare o un interprete.
1082 \item[\errcode{EPERM}] il file ha i bit \itindex{suid~bit} \acr{suid} o
1083 \itindex{sgid~bit} \acr{sgid}, l'utente non è root, il processo viene
1084 tracciato, o il filesystem è montato con l'opzione \cmd{nosuid}.
1085 \item[\errcode{ENOEXEC}] il file è in un formato non eseguibile o non
1086 riconosciuto come tale, o compilato per un'altra architettura.
1087 \item[\errcode{ENOENT}] il file o una delle librerie dinamiche o l'interprete
1088 necessari per eseguirlo non esistono.
1089 \item[\errcode{ETXTBSY}] l'eseguibile è aperto in scrittura da uno o più
1091 \item[\errcode{EINVAL}] l'eseguibile ELF ha più di un segmento
1092 \const{PF\_INTERP}, cioè chiede di essere eseguito da più di un
1094 \item[\errcode{ELIBBAD}] un interprete ELF non è in un formato
1096 \item[\errcode{E2BIG}] la lista degli argomenti è troppo grande.
1098 ed inoltre anche \errval{EFAULT}, \errval{ENOMEM}, \errval{EIO},
1099 \errval{ENAMETOOLONG}, \errval{ELOOP}, \errval{ENOTDIR}, \errval{ENFILE},
1103 La funzione \func{exec} esegue il file o lo script indicato da
1104 \param{filename}, passandogli la lista di argomenti indicata da \param{argv}
1105 e come ambiente la lista di stringhe indicata da \param{envp}; entrambe le
1106 liste devono essere terminate da un puntatore nullo. I vettori degli
1107 argomenti e dell'ambiente possono essere acceduti dal nuovo programma
1108 quando la sua funzione \func{main} è dichiarata nella forma
1109 \code{main(int argc, char *argv[], char *envp[])}.
1111 Le altre funzioni della famiglia servono per fornire all'utente una serie di
1112 possibili diverse interfacce per la creazione di un nuovo processo. I loro
1116 \funcdecl{int execl(const char *path, const char *arg, ...)}
1117 \funcdecl{int execv(const char *path, char *const argv[])}
1118 \funcdecl{int execle(const char *path, const char *arg, ..., char
1120 \funcdecl{int execlp(const char *file, const char *arg, ...)}
1121 \funcdecl{int execvp(const char *file, char *const argv[])}
1123 Sostituiscono l'immagine corrente del processo con quella indicata nel primo
1124 argomento. Gli argomenti successivi consentono di specificare gli argomenti a
1125 linea di comando e l'ambiente ricevuti dal nuovo processo.
1127 \bodydesc{Queste funzioni ritornano solo in caso di errore, restituendo -1;
1128 nel qual caso \var{errno} assumerà i valori visti in precedenza per
1132 Per capire meglio le differenze fra le funzioni della famiglia si può fare
1133 riferimento allo specchietto riportato in tab.~\ref{tab:proc_exec_scheme}. La
1134 prima differenza riguarda le modalità di passaggio dei valori che poi andranno
1135 a costituire gli argomenti a linea di comando (cioè i valori di
1136 \param{argv} e \param{argc} visti dalla funzione \func{main} del programma
1139 Queste modalità sono due e sono riassunte dagli mnemonici \code{v} e \code{l}
1140 che stanno rispettivamente per \textit{vector} e \textit{list}. Nel primo caso
1141 gli argomenti sono passati tramite il vettore di puntatori \var{argv[]} a
1142 stringhe terminate con zero che costituiranno gli argomenti a riga di comando,
1143 questo vettore \emph{deve} essere terminato da un puntatore nullo.
1145 Nel secondo caso le stringhe degli argomenti sono passate alla funzione come
1146 lista di puntatori, nella forma:
1147 \includecodesnip{listati/char_list.c}
1148 che deve essere terminata da un puntatore nullo. In entrambi i casi vale la
1149 convenzione che il primo argomento (\var{arg0} o \var{argv[0]}) viene usato
1150 per indicare il nome del file che contiene il programma che verrà eseguito.
1155 \begin{tabular}[c]{|l|c|c|c||c|c|c|}
1157 \multicolumn{1}{|c|}{\textbf{Caratteristiche}} &
1158 \multicolumn{6}{|c|}{\textbf{Funzioni}} \\
1160 &\func{execl}\texttt{ }&\func{execlp}&\func{execle}
1161 &\func{execv}\texttt{ }& \func{execvp}& \func{execve} \\
1164 argomenti a lista &$\bullet$&$\bullet$&$\bullet$&&& \\
1165 argomenti a vettore &&&&$\bullet$&$\bullet$&$\bullet$\\
1167 filename completo &$\bullet$&&$\bullet$&$\bullet$&&$\bullet$\\
1168 ricerca su \var{PATH} &&$\bullet$&&&$\bullet$& \\
1170 ambiente a vettore &&&$\bullet$&&&$\bullet$ \\
1171 uso di \var{environ} &$\bullet$&$\bullet$&&$\bullet$&$\bullet$& \\
1174 \caption{Confronto delle caratteristiche delle varie funzioni della
1175 famiglia \func{exec}.}
1176 \label{tab:proc_exec_scheme}
1179 La seconda differenza fra le funzioni riguarda le modalità con cui si
1180 specifica il programma che si vuole eseguire. Con lo mnemonico \code{p} si
1181 indicano le due funzioni che replicano il comportamento della shell nello
1182 specificare il comando da eseguire; quando l'argomento \param{file} non
1183 contiene una ``\texttt{/}'' esso viene considerato come un nome di programma,
1184 e viene eseguita automaticamente una ricerca fra i file presenti nella lista
1185 di directory specificate dalla variabile di ambiente \var{PATH}. Il file che
1186 viene posto in esecuzione è il primo che viene trovato. Se si ha un errore
1187 relativo a permessi di accesso insufficienti (cioè l'esecuzione della
1188 sottostante \func{execve} ritorna un \errcode{EACCES}), la ricerca viene
1189 proseguita nelle eventuali ulteriori directory indicate in \var{PATH}; solo se
1190 non viene trovato nessun altro file viene finalmente restituito
1193 Le altre quattro funzioni si limitano invece a cercare di eseguire il file
1194 indicato dall'argomento \param{path}, che viene interpretato come il
1195 \itindex{pathname}\textit{pathname} del programma.
1199 \includegraphics[width=15cm]{img/exec_rel}
1200 \caption{La interrelazione fra le sei funzioni della famiglia \func{exec}.}
1201 \label{fig:proc_exec_relat}
1204 La terza differenza è come viene passata la lista delle variabili di ambiente.
1205 Con lo mnemonico \texttt{e} vengono indicate quelle funzioni che necessitano
1206 di un vettore di parametri \var{envp[]} analogo a quello usato per gli
1207 argomenti a riga di comando (terminato quindi da un \val{NULL}), le altre
1208 usano il valore della variabile \var{environ} (vedi
1209 sez.~\ref{sec:proc_environ}) del processo di partenza per costruire
1212 Oltre a mantenere lo stesso \acr{pid}, il nuovo programma fatto partire da
1213 \func{exec} assume anche una serie di altre proprietà del processo chiamante;
1214 la lista completa è la seguente:
1216 \item il \textit{process id} (\acr{pid}) ed il \textit{parent process id}
1218 \item l'\textsl{user-ID reale}, il \textit{group-ID reale} ed i
1219 \textsl{group-ID supplementari} (vedi sez.~\ref{sec:proc_access_id});
1220 \item il \textit{session ID} (\acr{sid}) ed il \itindex{process~group}
1221 \textit{process group ID} (\acr{pgid}), vedi sez.~\ref{sec:sess_proc_group};
1222 \item il terminale di controllo (vedi sez.~\ref{sec:sess_ctrl_term});
1223 \item il tempo restante ad un allarme (vedi sez.~\ref{sec:sig_alarm_abort});
1224 \item la directory radice e la directory di lavoro corrente (vedi
1225 sez.~\ref{sec:file_work_dir});
1226 \item la maschera di creazione dei file (\var{umask}, vedi
1227 sez.~\ref{sec:file_umask}) ed i \textit{lock} sui file (vedi
1228 sez.~\ref{sec:file_locking});
1229 \item i segnali sospesi (\textit{pending}) e la maschera dei segnali (si veda
1230 sez.~\ref{sec:sig_sigmask});
1231 \item i limiti sulle risorse (vedi sez.~\ref{sec:sys_resource_limit});
1232 \item i valori delle variabili \var{tms\_utime}, \var{tms\_stime},
1233 \var{tms\_cutime}, \var{tms\_ustime} (vedi sez.~\ref{sec:sys_cpu_times}).
1236 Inoltre i segnali che sono stati impostati per essere ignorati nel processo
1237 chiamante mantengono la stessa impostazione pure nel nuovo programma, tutti
1238 gli altri segnali vengono impostati alla loro azione predefinita. Un caso
1239 speciale è il segnale \const{SIGCHLD} che, quando impostato a
1240 \const{SIG\_IGN}, può anche non essere reimpostato a \const{SIG\_DFL} (si veda
1241 sez.~\ref{sec:sig_gen_beha}).
1243 La gestione dei file aperti dipende dal valore che ha il flag di
1244 \textit{close-on-exec}\itindex{close-on-exec} (vedi anche
1245 sez.~\ref{sec:file_fcntl}) per ciascun file descriptor. I file per cui è
1246 impostato vengono chiusi, tutti gli altri file restano aperti. Questo
1247 significa che il comportamento predefinito è che i file restano aperti
1248 attraverso una \func{exec}, a meno di una chiamata esplicita a \func{fcntl}
1249 che imposti il suddetto flag.
1251 Per le directory, lo standard POSIX.1 richiede che esse vengano chiuse
1252 attraverso una \func{exec}, in genere questo è fatto dalla funzione
1253 \func{opendir} (vedi sez.~\ref{sec:file_dir_read}) che effettua da sola
1254 l'impostazione del flag di \textit{close-on-exec}\itindex{close-on-exec} sulle
1255 directory che apre, in maniera trasparente all'utente.
1257 Abbiamo detto che l'\textsl{user-ID reale} ed il \textsl{group-ID reale}
1258 restano gli stessi all'esecuzione di \func{exec}; lo stesso vale per
1259 l'\textsl{user-ID effettivo} ed il \textsl{group-ID effettivo} (il significato
1260 di questi identificatori è trattato in sez.~\ref{sec:proc_access_id}), tranne
1261 quando il file che si va ad eseguire abbia o il \itindex{suid~bit}\acr{suid}
1262 bit o lo \itindex{sgid~bit} \acr{sgid} bit impostato, in questo caso
1263 l'\textsl{user-ID effettivo} ed il \textsl{group-ID effettivo} vengono
1264 impostati rispettivamente all'utente o al gruppo cui il file appartiene (per i
1265 dettagli vedi sez.~\ref{sec:proc_perms}).
1267 Se il file da eseguire è in formato \emph{a.out} e necessita di librerie
1268 condivise, viene lanciato il \textit{linker} dinamico \cmd{/lib/ld.so} prima
1269 del programma per caricare le librerie necessarie ed effettuare il link
1270 dell'eseguibile. Se il programma è in formato ELF per caricare le librerie
1271 dinamiche viene usato l'interprete indicato nel segmento \const{PT\_INTERP},
1272 in genere questo è \file{/lib/ld-linux.so.1} per programmi linkati con le
1273 \acr{libc5}, e \file{/lib/ld-linux.so.2} per programmi linkati con le
1276 Infine nel caso il file sia uno script esso deve iniziare con una linea nella
1277 forma \cmd{\#!/path/to/interpreter [argomenti]} dove l'interprete indicato
1278 deve essere un programma valido (binario, non un altro script) che verrà
1279 chiamato come se si fosse eseguito il comando \cmd{interpreter [argomenti]
1280 filename}.\footnote{si tenga presente che con Linux quanto viene scritto
1281 come \texttt{argomenti} viene passato all'inteprete come un unico argomento
1282 con una unica stringa di lunghezza massima di 127 caratteri e se questa
1283 dimensione viene ecceduta la stringa viene troncata; altri Unix hanno
1284 dimensioni massime diverse, e diversi comportamenti, ad esempio FreeBSD
1285 esegue la scansione della riga e la divide nei vari argomenti e se è troppo
1286 lunga restitituisce un errore di \const{ENAMETOOLONG}, una comparazione dei
1287 vari comportamenti si trova su
1288 \href{http://www.in-ulm.de/~mascheck/various/shebang/}
1289 {\texttt{http://www.in-ulm.de/\tild mascheck/various/shebang/}}.}
1291 Con la famiglia delle \func{exec} si chiude il novero delle funzioni su cui è
1292 basata la gestione dei processi in Unix: con \func{fork} si crea un nuovo
1293 processo, con \func{exec} si lancia un nuovo programma, con \func{exit} e
1294 \func{wait} si effettua e verifica la conclusione dei processi. Tutte le
1295 altre funzioni sono ausiliarie e servono per la lettura e l'impostazione dei
1296 vari parametri connessi ai processi.
1300 \section{Il controllo di accesso}
1301 \label{sec:proc_perms}
1303 In questa sezione esamineremo le problematiche relative al controllo di
1304 accesso dal punto di vista dei processi; vedremo quali sono gli identificatori
1305 usati, come questi possono essere modificati nella creazione e nel lancio di
1306 nuovi processi, le varie funzioni per la loro manipolazione diretta e tutte le
1307 problematiche connesse ad una gestione accorta dei privilegi.
1310 \subsection{Gli identificatori del controllo di accesso}
1311 \label{sec:proc_access_id}
1313 Come accennato in sez.~\ref{sec:intro_multiuser} il modello base\footnote{in
1314 realtà già esistono estensioni di questo modello base, che lo rendono più
1315 flessibile e controllabile, come le \itindex{capabilities}
1316 \textit{capabilities} illustrate in sez.~\ref{sec:proc_capabilities}, le ACL
1317 per i file o il \textit{Mandatory Access Control}
1318 \itindex{Mandatory~Access~Control~(MAC)} di SELinux; inoltre basandosi sul
1319 lavoro effettuato con SELinux, a partire dal kernel 2.5.x, è iniziato lo
1320 sviluppo di una infrastruttura di sicurezza, il \textit{Linux Security
1321 Modules}, o LSM, in grado di fornire diversi agganci a livello del kernel
1322 per modularizzare tutti i possibili controlli di accesso.} di sicurezza di
1323 un sistema unix-like è fondato sui concetti di utente e gruppo, e sulla
1324 separazione fra l'amministratore (\textsl{root}, detto spesso anche
1325 \textit{superuser}) che non è sottoposto a restrizioni, ed il resto degli
1326 utenti, per i quali invece vengono effettuati i vari controlli di accesso.
1328 Abbiamo già accennato come il sistema associ ad ogni utente e gruppo due
1329 identificatori univoci, lo user-ID ed il group-ID; questi servono al kernel per
1330 identificare uno specifico utente o un gruppo di utenti, per poi poter
1331 controllare che essi siano autorizzati a compiere le operazioni richieste. Ad
1332 esempio in sez.~\ref{sec:file_access_control} vedremo come ad ogni file vengano
1333 associati un utente ed un gruppo (i suoi \textsl{proprietari}, indicati
1334 appunto tramite un \acr{uid} ed un \acr{gid}) che vengono controllati dal
1335 kernel nella gestione dei permessi di accesso.
1337 Dato che tutte le operazioni del sistema vengono compiute dai processi, è
1338 evidente che per poter implementare un controllo sulle operazioni occorre
1339 anche poter identificare chi è che ha lanciato un certo programma, e pertanto
1340 anche a ciascun processo dovrà essere associato un utente e un gruppo.
1342 Un semplice controllo di una corrispondenza fra identificativi non garantisce
1343 però sufficiente flessibilità per tutti quei casi in cui è necessario poter
1344 disporre di privilegi diversi, o dover impersonare un altro utente per un
1345 limitato insieme di operazioni. Per questo motivo in generale tutti gli Unix
1346 prevedono che i processi abbiano almeno due gruppi di identificatori, chiamati
1347 rispettivamente \textit{real} ed \textit{effective} (cioè \textsl{reali} ed
1348 \textsl{effettivi}). Nel caso di Linux si aggiungono poi altri due gruppi, il
1349 \textit{saved} (\textsl{salvati}) ed il \textit{filesystem} (\textsl{di
1350 filesystem}), secondo la situazione illustrata in
1351 tab.~\ref{tab:proc_uid_gid}.
1356 \begin{tabular}[c]{|c|c|l|p{7.3cm}|}
1358 \textbf{Suffisso} & \textbf{Gruppo} & \textbf{Denominazione}
1359 & \textbf{Significato} \\
1362 \acr{uid} & \textit{real} & \textsl{user-ID reale}
1363 & indica l'utente che ha lanciato il programma\\
1364 \acr{gid} & '' &\textsl{group-ID reale}
1365 & indica il gruppo principale dell'utente che ha lanciato
1368 \acr{euid} & \textit{effective} &\textsl{user-ID effettivo}
1369 & indica l'utente usato nel controllo di accesso \\
1370 \acr{egid} & '' & \textsl{group-ID effettivo}
1371 & indica il gruppo usato nel controllo di accesso \\
1372 -- & -- & \textsl{group-ID supplementari}
1373 & indicano gli ulteriori gruppi cui l'utente appartiene \\
1375 -- & \textit{saved} & \textsl{user-ID salvato}
1376 & è una copia dell'\acr{euid} iniziale\\
1377 -- & '' & \textsl{group-ID salvato}
1378 & è una copia dell'\acr{egid} iniziale \\
1380 \acr{fsuid} & \textit{filesystem} &\textsl{user-ID di filesystem}
1381 & indica l'utente effettivo per l'accesso al filesystem \\
1382 \acr{fsgid} & '' & \textsl{group-ID di filesystem}
1383 & indica il gruppo effettivo per l'accesso al filesystem \\
1386 \caption{Identificatori di utente e gruppo associati a ciascun processo con
1387 indicazione dei suffissi usati dalle varie funzioni di manipolazione.}
1388 \label{tab:proc_uid_gid}
1391 Al primo gruppo appartengono l'\textsl{user-ID reale} ed il \textsl{group-ID
1392 reale}: questi vengono impostati al login ai valori corrispondenti
1393 all'utente con cui si accede al sistema (e relativo gruppo principale).
1394 Servono per l'identificazione dell'utente e normalmente non vengono mai
1395 cambiati. In realtà vedremo (in sez.~\ref{sec:proc_setuid}) che è possibile
1396 modificarli, ma solo ad un processo che abbia i privilegi di amministratore;
1397 questa possibilità è usata proprio dal programma \cmd{login} che, una volta
1398 completata la procedura di autenticazione, lancia una shell per la quale
1399 imposta questi identificatori ai valori corrispondenti all'utente che entra
1402 Al secondo gruppo appartengono lo \textsl{user-ID effettivo} ed il
1403 \textsl{group-ID effettivo} (a cui si aggiungono gli eventuali \textsl{group-ID
1404 supplementari} dei gruppi dei quali l'utente fa parte). Questi sono invece
1405 gli identificatori usati nelle verifiche dei permessi del processo e per il
1406 controllo di accesso ai file (argomento affrontato in dettaglio in
1407 sez.~\ref{sec:file_perm_overview}).
1409 Questi identificatori normalmente sono identici ai corrispondenti del gruppo
1410 \textit{real} tranne nel caso in cui, come accennato in
1411 sez.~\ref{sec:proc_exec}, il programma che si è posto in esecuzione abbia i
1412 bit \itindex{suid~bit} \acr{suid} o \itindex{sgid~bit} \acr{sgid} impostati
1413 (il significato di questi bit è affrontato in dettaglio in
1414 sez.~\ref{sec:file_suid_sgid}). In questo caso essi saranno impostati
1415 all'utente e al gruppo proprietari del file. Questo consente, per programmi in
1416 cui ci sia necessità, di dare a qualunque utente normale privilegi o permessi
1417 di un altro (o dell'amministratore).
1419 Come nel caso del \acr{pid} e del \acr{ppid}, anche tutti questi
1420 identificatori possono essere letti attraverso le rispettive funzioni:
1421 \funcd{getuid}, \funcd{geteuid}, \funcd{getgid} e \funcd{getegid}, i loro
1425 \headdecl{sys/types.h}
1426 \funcdecl{uid\_t getuid(void)} Restituisce l'\textsl{user-ID reale} del
1429 \funcdecl{uid\_t geteuid(void)} Restituisce l'\textsl{user-ID effettivo} del
1432 \funcdecl{gid\_t getgid(void)} Restituisce il \textsl{group-ID reale} del
1435 \funcdecl{gid\_t getegid(void)} Restituisce il \textsl{group-ID effettivo}
1436 del processo corrente.
1438 \bodydesc{Queste funzioni non riportano condizioni di errore.}
1441 In generale l'uso di privilegi superiori deve essere limitato il più
1442 possibile, per evitare abusi e problemi di sicurezza, per questo occorre anche
1443 un meccanismo che consenta ad un programma di rilasciare gli eventuali
1444 maggiori privilegi necessari, una volta che si siano effettuate le operazioni
1445 per i quali erano richiesti, e a poterli eventualmente recuperare in caso
1448 Questo in Linux viene fatto usando altri due gruppi di identificatori, il
1449 \textit{saved} ed il \textit{filesystem}. Il primo gruppo è lo stesso usato in
1450 SVr4, e previsto dallo standard POSIX quando è definita la costante
1451 \macro{\_POSIX\_SAVED\_IDS},\footnote{in caso si abbia a cuore la portabilità
1452 del programma su altri Unix è buona norma controllare sempre la
1453 disponibilità di queste funzioni controllando se questa costante è
1454 definita.} il secondo gruppo è specifico di Linux e viene usato per
1455 migliorare la sicurezza con NFS.
1457 L'\textsl{user-ID salvato} ed il \textsl{group-ID salvato} sono copie
1458 dell'\textsl{user-ID effettivo} e del \textsl{group-ID effettivo} del processo
1459 padre, e vengono impostati dalla funzione \func{exec} all'avvio del processo,
1460 come copie dell'\textsl{user-ID effettivo} e del \textsl{group-ID effettivo}
1461 dopo che questi sono stati impostati tenendo conto di eventuali
1462 \itindex{suid~bit}\acr{suid} o \itindex{sgid~bit} \acr{sgid}. Essi quindi
1463 consentono di tenere traccia di quale fossero utente e gruppo effettivi
1464 all'inizio dell'esecuzione di un nuovo programma.
1466 L'\textsl{user-ID di filesystem} e il \textsl{group-ID di filesystem} sono
1467 un'estensione introdotta in Linux per rendere più sicuro l'uso di NFS
1468 (torneremo sull'argomento in sez.~\ref{sec:proc_setuid}). Essi sono una
1469 replica dei corrispondenti identificatori del gruppo \textit{effective}, ai
1470 quali si sostituiscono per tutte le operazioni di verifica dei permessi
1471 relativi ai file (trattate in sez.~\ref{sec:file_perm_overview}). Ogni
1472 cambiamento effettuato sugli identificatori effettivi viene automaticamente
1473 riportato su di essi, per cui in condizioni normali si può tranquillamente
1474 ignorarne l'esistenza, in quanto saranno del tutto equivalenti ai precedenti.
1477 \subsection{Le funzioni di gestione degli identificatori dei processi}
1478 \label{sec:proc_setuid}
1480 Le due funzioni più comuni che vengono usate per cambiare identità (cioè
1481 utente e gruppo di appartenenza) ad un processo sono rispettivamente
1482 \funcd{setuid} e \funcd{setgid}; come accennato in
1483 sez.~\ref{sec:proc_access_id} in Linux esse seguono la semantica POSIX che
1484 prevede l'esistenza dell'\textit{user-ID salvato} e del \textit{group-ID
1485 salvato}; i loro prototipi sono:
1488 \headdecl{sys/types.h}
1490 \funcdecl{int setuid(uid\_t uid)} Imposta l'\textsl{user-ID} del processo
1493 \funcdecl{int setgid(gid\_t gid)} Imposta il \textsl{group-ID} del processo
1496 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1497 di fallimento: l'unico errore possibile è \errval{EPERM}.}
1500 Il funzionamento di queste due funzioni è analogo, per cui considereremo solo
1501 la prima; la seconda si comporta esattamente allo stesso modo facendo
1502 riferimento al \textsl{group-ID} invece che all'\textsl{user-ID}. Gli
1503 eventuali \textsl{group-ID supplementari} non vengono modificati.
1505 L'effetto della chiamata è diverso a seconda dei privilegi del processo; se
1506 l'\textsl{user-ID effettivo} è zero (cioè è quello dell'amministratore di
1507 sistema) allora tutti gli identificatori (\textit{real}, \textit{effective} e
1508 \textit{saved}) vengono impostati al valore specificato da \param{uid},
1509 altrimenti viene impostato solo l'\textsl{user-ID effettivo}, e soltanto se il
1510 valore specificato corrisponde o all'\textsl{user-ID reale} o
1511 all'\textsl{user-ID salvato}. Negli altri casi viene segnalato un errore (con
1514 Come accennato l'uso principale di queste funzioni è quello di poter
1515 consentire ad un programma con i bit \itindex{suid~bit} \acr{suid} o
1516 \itindex{sgid~bit} \acr{sgid} impostati (vedi sez.~\ref{sec:file_suid_sgid})
1517 di riportare l'\textsl{user-ID effettivo} a quello dell'utente che ha lanciato
1518 il programma, effettuare il lavoro che non necessita di privilegi aggiuntivi,
1519 ed eventualmente tornare indietro.
1521 Come esempio per chiarire l'uso di queste funzioni prendiamo quello con cui
1522 viene gestito l'accesso al file \file{/var/log/utmp}. In questo file viene
1523 registrato chi sta usando il sistema al momento corrente; chiaramente non può
1524 essere lasciato aperto in scrittura a qualunque utente, che potrebbe
1525 falsificare la registrazione. Per questo motivo questo file (e l'analogo
1526 \file{/var/log/wtmp} su cui vengono registrati login e logout) appartengono ad
1527 un gruppo dedicato (\acr{utmp}) ed i programmi che devono accedervi (ad
1528 esempio tutti i programmi di terminale in X, o il programma \cmd{screen} che
1529 crea terminali multipli su una console) appartengono a questo gruppo ed hanno
1530 il bit \acr{sgid} impostato.
1532 Quando uno di questi programmi (ad esempio \cmd{xterm}) viene lanciato, la
1533 situazione degli identificatori è la seguente:
1536 \textsl{group-ID reale} &=& \textrm{\acr{gid} (del chiamante)} \\
1537 \textsl{group-ID effettivo} &=& \textrm{\acr{utmp}} \\
1538 \textsl{group-ID salvato} &=& \textrm{\acr{utmp}}
1540 in questo modo, dato che il \textsl{group-ID effettivo} è quello giusto, il
1541 programma può accedere a \file{/var/log/utmp} in scrittura ed aggiornarlo. A
1542 questo punto il programma può eseguire una \code{setgid(getgid())} per
1543 impostare il \textsl{group-ID effettivo} a quello dell'utente (e dato che il
1544 \textsl{group-ID reale} corrisponde la funzione avrà successo), in questo modo
1545 non sarà possibile lanciare dal terminale programmi che modificano detto file,
1546 in tal caso infatti la situazione degli identificatori sarebbe:
1549 \textsl{group-ID reale} &=& \textrm{\acr{gid} (invariato)} \\
1550 \textsl{group-ID effettivo} &=& \textrm{\acr{gid}} \\
1551 \textsl{group-ID salvato} &=& \textrm{\acr{utmp} (invariato)}
1553 e ogni processo lanciato dal terminale avrebbe comunque \acr{gid} come
1554 \textsl{group-ID effettivo}. All'uscita dal terminale, per poter di nuovo
1555 aggiornare lo stato di \file{/var/log/utmp} il programma eseguirà una
1556 \code{setgid(utmp)} (dove \var{utmp} è il valore numerico associato al gruppo
1557 \acr{utmp}, ottenuto ad esempio con una precedente \func{getegid}), dato che
1558 in questo caso il valore richiesto corrisponde al \textsl{group-ID salvato} la
1559 funzione avrà successo e riporterà la situazione a:
1562 \textsl{group-ID reale} &=& \textrm{\acr{gid} (invariato)} \\
1563 \textsl{group-ID effettivo} &=& \textrm{\acr{utmp}} \\
1564 \textsl{group-ID salvato} &=& \textrm{\acr{utmp} (invariato)}
1566 consentendo l'accesso a \file{/var/log/utmp}.
1568 Occorre però tenere conto che tutto questo non è possibile con un processo con
1569 i privilegi di amministratore, in tal caso infatti l'esecuzione di una
1570 \func{setuid} comporta il cambiamento di tutti gli identificatori associati al
1571 processo, rendendo impossibile riguadagnare i privilegi di amministratore.
1572 Questo comportamento è corretto per l'uso che ne fa \cmd{login} una volta che
1573 crea una nuova shell per l'utente; ma quando si vuole cambiare soltanto
1574 l'\textsl{user-ID effettivo} del processo per cedere i privilegi occorre
1575 ricorrere ad altre funzioni.
1577 Le due funzioni \funcd{setreuid} e \funcd{setregid} derivano da BSD che, non
1578 supportando\footnote{almeno fino alla versione 4.3+BSD TODO, FIXME verificare
1579 e aggiornare la nota.} gli identificatori del gruppo \textit{saved}, le usa
1580 per poter scambiare fra di loro \textit{effective} e \textit{real}. I
1581 rispettivi prototipi sono:
1584 \headdecl{sys/types.h}
1586 \funcdecl{int setreuid(uid\_t ruid, uid\_t euid)} Imposta l'\textsl{user-ID
1587 reale} e l'\textsl{user-ID effettivo} del processo corrente ai valori
1588 specificati da \param{ruid} e \param{euid}.
1590 \funcdecl{int setregid(gid\_t rgid, gid\_t egid)} Imposta il \textsl{group-ID
1591 reale} ed il \textsl{group-ID effettivo} del processo corrente ai valori
1592 specificati da \param{rgid} e \param{egid}.
1594 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1595 di fallimento: l'unico errore possibile è \errval{EPERM}.}
1598 La due funzioni sono analoghe ed il loro comportamento è identico; quanto
1599 detto per la prima riguardo l'user-ID, si applica immediatamente alla seconda
1600 per il group-ID. I processi non privilegiati possono impostare solo i valori
1601 del loro user-ID effettivo o reale; valori diversi comportano il fallimento
1602 della chiamata; l'amministratore invece può specificare un valore qualunque.
1603 Specificando un argomento di valore -1 l'identificatore corrispondente verrà
1604 lasciato inalterato.
1606 Con queste funzioni si possono scambiare fra loro gli user-ID reale e
1607 effettivo, e pertanto è possibile implementare un comportamento simile a
1608 quello visto in precedenza per \func{setgid}, cedendo i privilegi con un primo
1609 scambio, e recuperandoli, eseguito il lavoro non privilegiato, con un secondo
1612 In questo caso però occorre porre molta attenzione quando si creano nuovi
1613 processi nella fase intermedia in cui si sono scambiati gli identificatori, in
1614 questo caso infatti essi avranno un user-ID reale privilegiato, che dovrà
1615 essere esplicitamente eliminato prima di porre in esecuzione un nuovo
1616 programma (occorrerà cioè eseguire un'altra chiamata dopo la \func{fork} e
1617 prima della \func{exec} per uniformare l'user-ID reale a quello effettivo) in
1618 caso contrario il nuovo programma potrebbe a sua volta effettuare uno scambio
1619 e riottenere privilegi non previsti.
1621 Lo stesso problema di propagazione dei privilegi ad eventuali processi figli
1622 si pone per l'user-ID salvato: questa funzione deriva da un'implementazione che
1623 non ne prevede la presenza, e quindi non è possibile usarla per correggere la
1624 situazione come nel caso precedente. Per questo motivo in Linux tutte le volte
1625 che si imposta un qualunque valore diverso da quello dall'user-ID reale
1626 corrente, l'user-ID salvato viene automaticamente uniformato al valore
1627 dell'user-ID effettivo.
1629 Altre due funzioni, \funcd{seteuid} e \funcd{setegid}, sono un'estensione
1630 dello standard POSIX.1, ma sono comunque supportate dalla maggior parte degli
1631 Unix; esse vengono usate per cambiare gli identificatori del gruppo
1632 \textit{effective} ed i loro prototipi sono:
1635 \headdecl{sys/types.h}
1637 \funcdecl{int seteuid(uid\_t uid)} Imposta l'user-ID effettivo del processo
1638 corrente a \param{uid}.
1640 \funcdecl{int setegid(gid\_t gid)} Imposta il group-ID effettivo del processo
1641 corrente a \param{gid}.
1643 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1644 di fallimento: l'unico errore è \errval{EPERM}.}
1647 Come per le precedenti le due funzioni sono identiche, per cui tratteremo solo
1648 la prima. Gli utenti normali possono impostare l'user-ID effettivo solo al
1649 valore dell'user-ID reale o dell'user-ID salvato, l'amministratore può
1650 specificare qualunque valore. Queste funzioni sono usate per permettere
1651 all'amministratore di impostare solo l'user-ID effettivo, dato che l'uso
1652 normale di \func{setuid} comporta l'impostazione di tutti gli identificatori.
1655 Le due funzioni \funcd{setresuid} e \funcd{setresgid} sono invece
1656 un'estensione introdotta in Linux,\footnote{per essere precisi a partire dal
1657 kernel 2.1.44.} e permettono un completo controllo su tutti e tre i gruppi
1658 di identificatori (\textit{real}, \textit{effective} e \textit{saved}), i loro
1662 \headdecl{sys/types.h}
1664 \funcdecl{int setresuid(uid\_t ruid, uid\_t euid, uid\_t suid)} Imposta
1665 l'user-ID reale, l'user-ID effettivo e l'user-ID salvato del processo corrente
1666 ai valori specificati rispettivamente da \param{ruid}, \param{euid} e
1669 \funcdecl{int setresgid(gid\_t rgid, gid\_t egid, gid\_t sgid)} Imposta il
1670 group-ID reale, il group-ID effettivo ed il group-ID salvato del processo
1671 corrente ai valori specificati rispettivamente da \param{rgid}, \param{egid} e
1674 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1675 di fallimento: l'unico errore è \errval{EPERM}.}
1678 Le due funzioni sono identiche, quanto detto per la prima riguardo gli user-ID
1679 si applica alla seconda per i group-ID. I processi non privilegiati possono
1680 cambiare uno qualunque degli user-ID solo ad un valore corrispondente o
1681 all'user-ID reale, o a quello effettivo o a quello salvato, l'amministratore
1682 può specificare i valori che vuole; un valore di -1 per un qualunque argomento
1683 lascia inalterato l'identificatore corrispondente.
1685 Per queste funzioni esistono anche due controparti che permettono di leggere
1686 in blocco i vari identificatori: \funcd{getresuid} e \funcd{getresgid}; i loro
1690 \headdecl{sys/types.h}
1692 \funcdecl{int getresuid(uid\_t *ruid, uid\_t *euid, uid\_t *suid)} Legge
1693 l'user-ID reale, l'user-ID effettivo e l'user-ID salvato del processo corrente.
1695 \funcdecl{int getresgid(gid\_t *rgid, gid\_t *egid, gid\_t *sgid)} Legge il
1696 group-ID reale, il group-ID effettivo e il group-ID salvato del processo
1699 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso di
1700 fallimento: l'unico errore possibile è \errval{EFAULT} se gli indirizzi delle
1701 variabili di ritorno non sono validi.}
1704 Anche queste funzioni sono un'estensione specifica di Linux, e non richiedono
1705 nessun privilegio. I valori sono restituiti negli argomenti, che vanno
1706 specificati come puntatori (è un altro esempio di
1707 \itindex{value~result~argument}\textit{value result argument}). Si noti che
1708 queste funzioni sono le uniche in grado di leggere gli identificatori del
1709 gruppo \textit{saved}.
1712 Infine le funzioni \func{setfsuid} e \func{setfsgid} servono per impostare gli
1713 identificatori del gruppo \textit{filesystem} che sono usati da Linux per il
1714 controllo dell'accesso ai file. Come già accennato in
1715 sez.~\ref{sec:proc_access_id} Linux definisce questo ulteriore gruppo di
1716 identificatori, che in circostanze normali sono assolutamente equivalenti a
1717 quelli del gruppo \textit{effective}, dato che ogni cambiamento di questi
1718 ultimi viene immediatamente riportato su di essi.
1720 C'è un solo caso in cui si ha necessità di introdurre una differenza fra gli
1721 identificatori dei gruppi \textit{effective} e \textit{filesystem}, ed è per
1722 ovviare ad un problema di sicurezza che si presenta quando si deve
1723 implementare un server NFS.
1725 Il server NFS infatti deve poter cambiare l'identificatore con cui accede ai
1726 file per assumere l'identità del singolo utente remoto, ma se questo viene
1727 fatto cambiando l'user-ID effettivo o l'user-ID reale il server si espone alla
1728 ricezione di eventuali segnali ostili da parte dell'utente di cui ha
1729 temporaneamente assunto l'identità. Cambiando solo l'user-ID di filesystem si
1730 ottengono i privilegi necessari per accedere ai file, mantenendo quelli
1731 originari per quanto riguarda tutti gli altri controlli di accesso, così che
1732 l'utente non possa inviare segnali al server NFS.
1734 Le due funzioni usate per cambiare questi identificatori sono \funcd{setfsuid}
1735 e \funcd{setfsgid}, ovviamente sono specifiche di Linux e non devono essere
1736 usate se si intendono scrivere programmi portabili; i loro prototipi sono:
1738 \headdecl{sys/fsuid.h}
1740 \funcdecl{int setfsuid(uid\_t fsuid)} Imposta l'user-ID di filesystem del
1741 processo corrente a \param{fsuid}.
1743 \funcdecl{int setfsgid(gid\_t fsgid)} Imposta il group-ID di filesystem del
1744 processo corrente a \param{fsgid}.
1746 \bodydesc{Le funzioni restituiscono 0 in caso di successo e -1 in caso
1747 di fallimento: l'unico errore possibile è \errval{EPERM}.}
1749 \noindent queste funzioni hanno successo solo se il processo chiamante ha i
1750 privilegi di amministratore o, per gli altri utenti, se il valore specificato
1751 coincide con uno dei di quelli del gruppo \textit{real}, \textit{effective} o
1755 \subsection{Le funzioni per la gestione dei gruppi associati a un processo}
1756 \label{sec:proc_setgroups}
1758 Le ultime funzioni che esamineremo sono quelle che permettono di operare sui
1759 gruppi supplementari cui un utente può appartenere. Ogni processo può avere
1760 almeno \const{NGROUPS\_MAX} gruppi supplementari\footnote{il numero massimo di
1761 gruppi secondari può essere ottenuto con \func{sysconf} (vedi
1762 sez.~\ref{sec:sys_sysconf}), leggendo il parametro
1763 \texttt{\_SC\_NGROUPS\_MAX}.} in aggiunta al gruppo primario; questi vengono
1764 ereditati dal processo padre e possono essere cambiati con queste funzioni.
1766 La funzione che permette di leggere i gruppi supplementari associati ad un
1767 processo è \funcd{getgroups}; questa funzione è definita nello standard
1768 POSIX.1, ed il suo prototipo è:
1770 \headdecl{sys/types.h}
1773 \funcdecl{int getgroups(int size, gid\_t list[])}
1775 Legge gli identificatori dei gruppi supplementari.
1777 \bodydesc{La funzione restituisce il numero di gruppi letti in caso di
1778 successo e -1 in caso di fallimento, nel qual caso \var{errno} assumerà
1781 \item[\errcode{EFAULT}] \param{list} non ha un indirizzo valido.
1782 \item[\errcode{EINVAL}] il valore di \param{size} è diverso da zero ma
1783 minore del numero di gruppi supplementari del processo.
1787 La funzione legge gli identificatori dei gruppi supplementari del processo sul
1788 vettore \param{list} di dimensione \param{size}. Non è specificato se la
1789 funzione inserisca o meno nella lista il group-ID effettivo del processo. Se si
1790 specifica un valore di \param{size} uguale a 0 \param{list} non viene
1791 modificato, ma si ottiene il numero di gruppi supplementari.
1793 Una seconda funzione, \funcd{getgrouplist}, può invece essere usata per
1794 ottenere tutti i gruppi a cui appartiene un certo utente; il suo prototipo è:
1796 \headdecl{sys/types.h}
1799 \funcdecl{int getgrouplist(const char *user, gid\_t group, gid\_t *groups,
1800 int *ngroups)} Legge i gruppi supplementari.
1802 \bodydesc{La funzione legge fino ad un massimo di \param{ngroups} valori,
1803 restituisce 0 in caso di successo e -1 in caso di fallimento.}
1806 La funzione legge i gruppi supplementari dell'utente specificato da
1807 \param{user}, eseguendo una scansione del database dei gruppi (si veda
1808 sez.~\ref{sec:sys_user_group}). Ritorna poi in \param{groups} la lista di
1809 quelli a cui l'utente appartiene. Si noti che \param{ngroups} è passato come
1810 puntatore perché, qualora il valore specificato sia troppo piccolo, la
1811 funzione ritorna -1, passando indietro il numero dei gruppi trovati.
1813 Per impostare i gruppi supplementari di un processo ci sono due funzioni, che
1814 possono essere usate solo se si hanno i privilegi di amministratore. La prima
1815 delle due è \funcd{setgroups}, ed il suo prototipo è:
1817 \headdecl{sys/types.h}
1820 \funcdecl{int setgroups(size\_t size, gid\_t *list)}
1822 Imposta i gruppi supplementari del processo.
1824 \bodydesc{La funzione restituisce 0 in caso di successo e -1 in caso di
1825 fallimento, nel qual caso \var{errno} assumerà i valori:
1827 \item[\errcode{EFAULT}] \param{list} non ha un indirizzo valido.
1828 \item[\errcode{EPERM}] il processo non ha i privilegi di amministratore.
1829 \item[\errcode{EINVAL}] il valore di \param{size} è maggiore del valore
1834 La funzione imposta i gruppi supplementari del processo corrente ai valori
1835 specificati nel vettore passato con l'argomento \param{list}, di dimensioni
1836 date dall'argomento \param{size}. Il numero massimo di gruppi supplementari è
1837 un parametro di sistema, che può essere ricavato con le modalità spiegate in
1838 sez.~\ref{sec:sys_characteristics}.
1840 Se invece si vogliono impostare i gruppi supplementari del processo a quelli di
1841 un utente specifico, si può usare \funcd{initgroups} il cui prototipo è:
1843 \headdecl{sys/types.h}
1846 \funcdecl{int initgroups(const char *user, gid\_t group)}
1848 Inizializza la lista dei gruppi supplementari.
1850 \bodydesc{La funzione restituisce 0 in caso di successo e -1 in caso di
1851 fallimento, nel qual caso \var{errno} assumerà gli stessi valori di
1852 \func{setgroups} più \errval{ENOMEM} quando non c'è memoria sufficiente
1853 per allocare lo spazio per informazioni dei gruppi.}
1856 La funzione esegue la scansione del database dei gruppi (usualmente
1857 \file{/etc/groups}) cercando i gruppi di cui è membro l'utente \param{user}
1858 con cui costruisce una lista di gruppi supplementari, a cui aggiunge anche
1859 \param{group}, infine imposta questa lista per il processo corrente usando
1860 \func{setgroups}. Si tenga presente che sia \func{setgroups} che
1861 \func{initgroups} non sono definite nello standard POSIX.1 e che pertanto non
1862 è possibile utilizzarle quando si definisce \macro{\_POSIX\_SOURCE} o si
1863 compila con il flag \cmd{-ansi}, è pertanto meglio evitarle se si vuole
1864 scrivere codice portabile.
1867 \subsection{La gestione delle \textit{capabilities}}
1868 \label{sec:proc_capabilities}
1871 \itindbeg{capabilities}
1873 Come accennato in sez.~\ref{sec:proc_access_id} l'architettura classica della
1874 gestione dei privilegi in un sistema unix-like ha il sostanziale problema di
1875 fornire all'amministratore dei poteri troppo ampi, questo comporta che anche
1876 quando si siano predisposte delle misure di protezione per in essere in grado
1877 di difendersi dagli effetti di una eventuale compromissione del
1878 sistema,\footnote{come montare un filesystem in sola lettura per impedirne
1879 modifiche, o marcare un file come immutabile.} una volta che questa sia
1880 stata effettuata e si siano ottenuti i privilegi di amministratore, queste
1881 potranno essere comunque rimosse.\footnote{nei casi elencati nella precedente
1882 nota si potrà sempre rimontare il sistema in lettura-scrittura, o togliere
1883 la marcatura di immutabilità.}
1885 Il problema consiste nel fatto che nell'architettura tradizionale di un
1886 sistema unix-like i controlli di accesso sono basati su un solo livello di
1887 separazione: per i processi normali essi sono posti in atto, mentre per i
1888 processi con i privilegi di amministratore essi non vengono neppure eseguiti;
1889 per questo motivo non era previsto alcun modo per evitare che un processo con
1890 diritti di amministratore non potesse eseguire certe operazioni, o per cedere
1891 definitivamente alcuni privilegi da un certo momento in poi.
1893 Per ovviare a tutto ciò, a partire dai kernel della serie 2.2, è stato
1894 introdotto un meccanismo, detto \textit{capabilities}, che consentisse di
1895 suddividere i vari privilegi tradizionalmente associati all'amministratore in
1896 un insieme di \textsl{capacità} distinte. L'idea era che queste capacità
1897 potessero essere abilitate e disabilitate in maniera indipendente per ciascun
1898 processo con privilegi di amministratore, permettendo così una granularità
1899 molto più fine nella distribuzione degli stessi che evitasse la originaria
1900 situazione di \textsl{tutto o nulla}.
1902 Il meccanismo completo delle \textit{capabilities}\footnote{l'implementazione
1903 di Linux si rifà ad una bozza per quello che dovrebbe divenire lo standard
1904 POSIX.1e, che prevede questa funzionalità.} prevederebbe anche la
1905 possibilità di associare le stesse \textit{capabilities} anche ai singoli file
1906 eseguibili,\footnote{una descrizione sommaria di questa funzionalità è
1907 riportata nella pagina di manuale che descrive l'implementazione delle
1908 \textit{capabilities} con Linux (accessibile con \texttt{man capabilities}),
1909 ma non essendo implementata non ne tratteremo qui.} in modo da poter
1910 stabilire quali capacità possono essere utilizzate quando viene messo in
1911 esecuzione uno specifico programma; attualmente però questa funzionalità non è
1912 implementata.\footnote{per attualmente si intende fino al kernel 2.6.13, e
1913 finora non è disponibile al momento neanche presente nessuna realizzazione
1914 sperimentale delle specifiche POSIX.1e, anche se esistono dei patch di
1915 sicurezza del kernel, come LIDS (vedi
1916 \href{http://www.lids.org}{\texttt{http://www.lids.org/})} che realizzano
1917 qualcosa di simile.}
1920 \begin{table}[!h!bt]
1923 \begin{tabular}{|l|p{12cm}|}
1925 \textbf{Capacità}&\textbf{Descrizione}\\
1928 \const{CAP\_CHOWN} & la capacità di cambiare proprietario e gruppo
1929 proprietario di un file (vedi
1930 sez.~\ref{sec:file_chown}).\\
1931 \const{CAP\_DAC\_OVERRIDE}& la capacità di evitare il controllo dei
1932 permessi di lettura, scrittura ed esecuzione dei
1933 file, (vedi sez.~\ref{sec:file_access_control})
1934 caratteristici del modello classico del
1935 controllo di accesso chiamato
1936 \itindex{Discrectionary~Access~Control~(DAC)}
1937 \textit{Discrectionary Access Control} (da cui
1939 \const{CAP\_DAC\_READ\_SEARCH}& la capacità di evitare il controllo dei
1940 permessi di lettura, scrittura ed esecuzione per
1942 sez.~\ref{sec:file_access_control}).\\
1943 \const{CAP\_FOWNER} & la capacità di evitare il controllo che
1944 l'user-ID effettivo del processo (o meglio il
1945 \textit{filesystem user-ID}, vedi
1946 sez.~\ref{sec:proc_setuid}) coincida con
1947 quello del proprietario di un file per tutte
1948 le operazioni privilegiate non coperte dalle
1949 precedenti \const{CAP\_DAC\_OVERRIDE} e
1950 \const{CAP\_DAC\_READ\_SEARCH}. Queste
1951 comprendono i cambiamenti dei permessi e dei
1952 tempi del file (vedi sez.~\ref{sec:file_chmod} e
1953 sez.~\ref{sec:file_utime}), le impostazioni degli
1954 attributi estesi (con il comando \cmd{chattr}) e
1955 delle ACL, poter ignorare lo
1956 \itindex{sticky~bit} \textit{sticky bit} nella
1957 cancellazione dei file (vedi
1958 sez.~\ref{sec:file_sticky}), la possibilità di
1959 impostare il flag di \const{O\_NOATIME} con
1960 \func{open} e \func{fcntl} (vedi
1961 sez.~\ref{sec:file_open} e
1962 sez.~\ref{sec:file_fcntl}).\\
1963 \const{CAP\_FSETID} & la capacità di evitare la cancellazione
1964 automatica dei bit \itindex{suid~bit} \acr{suid}
1965 e \itindex{sgid~bit} \acr{sgid} quando un file
1966 per i quali sono impostati viene modificato da
1967 un processo senza questa capacità e la capacità
1968 di impostare il bit \acr{sgid} su un file anche
1969 quando questo è relativo ad un gruppo cui non si
1970 appartiene (vedi sez.~\ref{sec:file_chmod}).\\
1971 \const{CAP\_IPC\_LOCK} & la capacità di effettuare il \textit{memory
1972 locking} \itindex{memory~locking} con le
1973 funzioni \func{mlock}, \func{mlockall},
1974 \func{shmctl}, \func{mmap} (vedi
1975 sez.~\ref{sec:proc_mem_lock} e
1976 sez.~\ref{sec:file_memory_map}). \\
1977 \const{CAP\_IPC\_OWNER} & la capacità di evitare il controllo dei permessi
1978 per le operazioni sugli oggetti di
1979 intercomunicazione fra processi (vedi
1980 sez.~\ref{sec:ipc_sysv}).\\
1981 \const{CAP\_KILL} & la capacità di mandare segnali a qualunque
1982 processo (vedi sez.~\ref{sec:sig_kill_raise}).\\
1983 \const{CAP\_LEASE} & la capacità di creare dei \textit{file lease}
1984 \index{file!lease} su di un file (vedi
1985 sez.~\ref{sec:file_asyncronous_lease})
1986 indipendentemente dalla proprietà dello
1987 stesso.\footnotemark\\
1988 \const{CAP\_LINUX\_IMMUTABLE}& la capacità di impostare gli attributi
1989 \textit{immutable} e \textit{append only} per i
1990 file su un filesystem che supporta questi
1992 \const{CAP\_MKNOD} & la capacità di creare file di dispositivo con la
1993 funzione \func{mknod} (vedi
1994 sez.~\ref{sec:file_mknod}).\footnotemark\\
1995 \const{CAP\_NET\_ADMIN} & la capacità di eseguire alcune operazioni
1996 privilegiate sulla rete (impostare le opzioni
1997 privilegiate dei socket, abilitare il
1998 multicasting, impostare interfacce di rete e
1999 tabella di instradamento).\\
2000 \const{CAP\_NET\_BIND\_SERVICE}& la capacità di porre in ascolto server
2001 su porte riservate (vedi
2002 sez.~\ref{sec:TCP_func_bind}).\\
2003 \const{CAP\_NET\_BROADCAST}& la capacità di consentire l'uso di socket in
2004 broadcast e multicast.\\
2005 \const{CAP\_NET\_RAW} & la capacità di usare socket \texttt{RAW} e
2006 \texttt{PACKET} (quelli che permettono di creare
2007 pacchetti nei protocolli di basso livello).\\
2008 \const{CAP\_SETGID} & la capacità di manipolare i group ID dei
2009 processi, sia il principale che i supplementari,
2010 (vedi sez.~\ref{sec:proc_setgroups} che quelli
2011 trasmessi tramite i \index{socket} socket
2012 \textit{unix domain} (vedi
2013 sez.~\ref{sec:unix_socket}).\\
2014 \const{CAP\_SETPCAP} & la capacità di impostare o rimuovere una capacità
2015 (limitatamente a quelle che il processo
2016 chiamante ha nel suo insieme di capacità
2017 permesse) da qualunque processo.\\
2018 \const{CAP\_SETUID} & la capacità di manipolare gli user ID del
2019 processo (con \func{setuid}, \func{setreuid},
2020 \func{setresuid}, \func{setfsuid}) e di
2021 trasmettere un valore arbitrario
2022 dell'\textsl{uid} nel passaggio delle
2023 credenziali coi socket unix domain (vedi
2024 sez.~\ref{sec:unix_socket_xxx}).\\
2025 \const{CAP\_SYS\_ADMIN} & la capacità di eseguire una serie di compiti
2026 amministrativi (come impostare le quote,
2027 attivare e disattivare la swap, montare,
2028 rimontare e smontare filesystem, ecc.). \\
2029 \const{CAP\_SYS\_BOOT} & la capacità di fare eseguire un reboot del
2031 \const{CAP\_SYS\_CHROOT}& la capacità di eseguire la funzione
2033 sez.~\ref{sec:file_chroot}).\\
2034 \const{CAP\_SYS\_MODULE}& la capacità di caricare e rimuovere moduli del
2036 \const{CAP\_SYS\_NICE} & la capacità di modificare le priorità dei
2037 processi (vedi sez.~\ref{sec:proc_priority}). \\
2038 \const{CAP\_SYS\_PACCT} & la capacità di usare le funzioni di
2039 \textit{accounting} dei processi (vedi
2040 sez.~\ref{sec:sys_bsd_accounting}).\\
2041 \const{CAP\_SYS\_RAWIO} & la capacità di eseguire operazioni sulle porte
2042 di I/O con \func{ioperm} e \func{iopl} (vedi
2043 sez.~\ref{sec:file_io_port}).\\
2044 \const{CAP\_SYS\_RESOURCE}& la capacità di superare le limitazioni sulle
2045 risorse, aumentare le quote disco, usare lo
2046 spazio disco riservato all'amministratore.\\
2047 \const{CAP\_SYS\_TIME} & la capacità di modificare il tempo di sistema
2048 (vedi sez.~\ref{sec:sys_time}).\\
2049 \const{CAP\_SYS\_TTY\_CONFIG}& la capacità di simulare un \textit{hangup}
2050 della console, con la funzione
2052 \const{CAP\_SYS\_PTRACE}& consente di tracciare qualunque processo con
2054 sez.~\ref{sec:xxx_ptrace}).\\
2055 % TODO documentatare ptrace
2058 \caption{Le costanti che identificano le \textit{capabilities} presenti nel
2060 \label{tab:proc_capabilities}
2063 \footnotetext[18]{questa capacità è presente soltato a partire dai kernel
2066 \footnotetext{questa capacità è presente soltato a partire dai kernel della
2069 Per gestire questo nuovo meccanismo ciascun processo porta con sé tre distinti
2070 insiemi di \textit{capabilities}, che vengono denominati rispettivamente
2071 \textit{effective}, \textit{permitted} ed \textit{inherited}. Questi insiemi
2072 vengono mantenuti in forma di tre diverse maschere binarie,\footnote{il kernel
2073 li mantiene, come i vari identificatori di sez.~\ref{sec:proc_setuid},
2074 all'interno della \struct{task\_struct} di ciascun processo (vedi
2075 fig.~\ref{fig:proc_task_struct}), nei tre campi \texttt{cap\_effective},
2076 \texttt{cap\_inheritable}, \texttt{cap\_permitted} del tipo
2077 \texttt{kernel\_cap\_t} (definito come intero a 32 bit), il che comporta un
2078 massimo di 32 \textit{capabilities} distinte.} in cui ciascun bit
2079 corrisponde ad una capacità diversa; se ne è riportato l'elenco,\footnote{si
2080 tenga presente che l'elenco delle \textit{capabilities} presentato questa
2081 tabella, ripreso dalla relativa pagina di manuale (accessibile con
2082 \texttt{man capabilities}), è quello aggiornato al kernel 2.6.6.} con una
2083 breve descrizione, ed il nome delle costanti che identificano i singoli bit,
2084 in tab.~\ref{tab:proc_capabilities}.
2086 L'utilizzo di tre distinti insiemi serve a fornire una interfaccia flessibile
2087 per l'uso delle \textit{capabilities}, con scopi analoghi a quelli per cui
2088 sono mantenuti i diversi insiemi di identificatori di
2089 sez.~\ref{sec:proc_setuid}; il loro significato è il seguente:
2090 \begin{basedescript}{\desclabelwidth{2.0cm}\desclabelstyle{\nextlinelabel}}
2091 \item[\textit{effective}] l'insieme delle \textit{capabilities}
2092 ``\textsl{effettive}'', cioè quelle che vengono effettivamente usate dal
2093 kernel per eseguire il controllo di accesso per le operazioni compiute dal
2095 \item[\textit{permitted}] l'insieme delle \textit{capabilities}
2096 ``\textsl{permesse}'', cioè l'insieme di quelle che un processo \textsl{può}
2097 impostare come \textsl{effettive} se ha la capacità \const{CAP\_SETPCAP}. Se
2098 un processo cancella una capacità da questo insieme non potrà più
2099 riassumerla (almeno che non esegua un programma che è \acr{suid} di root).
2100 \item[\textit{inherited}] l'insieme delle \textit{capabilities}
2101 \textsl{ereditate}, cioè quelle che vengono trasmesse ad un nuovo programma
2102 eseguito attraverso una chiamata ad \func{exec} (con l'eccezione del caso
2103 che questo sia \acr{suid} di root).
2107 Oltre a questi tre insiemi, che sono relativi al singolo processo, il kernel
2108 mantiene un insieme generale valido per tutto il sistema, chiamato
2109 \itindex{capabilities~bounding~set} \textit{capabilities bounding set}. Ogni
2110 volta che un programma viene posto in esecuzione con \func{exec} il contenuto
2111 degli insiemi \textit{effective} e \textit{permitted} vengono mascherati con
2112 un \textsl{AND} binario del contenuto corrente del \textit{capabilities
2113 bounding set}, così che il nuovo processo potrà disporre soltanto delle
2114 capacità in esso elencate.
2116 Il \textit{capabilities bounding set} è un parametro di sistema, accessibile
2117 attraverso il contenuto del file \file{/proc/sys/kernel/cap-bound}, che per
2118 questa sua caratteristica consente di impostare un limite generale alle
2119 capacità che possono essere accordate ai vari processi. Questo valore può
2120 essere impostato ad un valore arbitrario esclusivamente dal primo processo
2121 eseguito nel sistema (di norma cioè da \texttt{/sbin/init}), ogni processo
2122 eseguito successivamente (cioè con \textsl{pid} diverso da 1) anche se
2123 eseguito con privilegi di amministratore può al più rimuovere uno dei bit
2124 dell'insieme: questo significa che una volta rimossa da esso una
2125 \textit{capability} essa non sarà più disponibile, neanche per
2126 l'amministratore, a meno di un riavvio.
2129 Quando viene messo in esecuzione (con \func{exec}) un processo eredita le
2130 \textit{capabilities} mantenute nell'insieme \textit{inherited}, a meno che
2131 non sia eseguito un programma \acr{suid} di root o la \func{exec} sia stata
2132 eseguita da un programma con \textsl{uid} reale zero; in tal caso il programma
2133 ottiene tutte le \textit{capabilities} presenti nel \textit{capabilities
2148 \itindend{capabilities}
2151 \section{La gestione della priorità di esecuzione}
2152 \label{sec:proc_priority}
2154 In questa sezione tratteremo più approfonditamente i meccanismi con il quale
2155 lo \textit{scheduler}\itindex{scheduler} assegna la CPU ai vari processi
2156 attivi. In particolare prenderemo in esame i vari meccanismi con cui viene
2157 gestita l'assegnazione del tempo di CPU, ed illustreremo le varie funzioni di
2161 \subsection{I meccanismi di \textit{scheduling}}
2162 \label{sec:proc_sched}
2164 \itindbeg{scheduler}
2165 La scelta di un meccanismo che sia in grado di distribuire in maniera efficace
2166 il tempo di CPU per l'esecuzione dei processi è sempre una questione delicata,
2167 ed oggetto di numerose ricerche; in generale essa dipende in maniera
2168 essenziale anche dal tipo di utilizzo che deve essere fatto del sistema, per
2169 cui non esiste un meccanismo che sia valido per tutti gli usi.
2171 La caratteristica specifica di un sistema multitasking come Linux è quella del
2172 cosiddetto \itindex{prehemptive~multitasking}\textit{prehemptive
2173 multitasking}: questo significa che al contrario di altri sistemi (che usano
2174 invece il cosiddetto \itindex{cooperative~multitasking}\textit{cooperative
2175 multitasking}) non sono i singoli processi, ma il kernel stesso a decidere
2176 quando la CPU deve essere passata ad un altro processo. Come accennato in
2177 sez.~\ref{sec:proc_hierarchy} questa scelta viene eseguita da una sezione
2178 apposita del kernel, lo \textit{scheduler}, il cui scopo è quello di
2179 distribuire al meglio il tempo di CPU fra i vari processi.
2181 La cosa è resa ancora più complicata dal fatto che con le architetture
2182 multi-processore si deve anche scegliere quale sia la CPU più opportuna da
2183 utilizzare.\footnote{nei processori moderni la presenza di ampie cache può
2184 rendere poco efficiente trasferire l'esecuzione di un processo da una CPU ad
2185 un'altra, per cui effettuare la migliore scelta fra le diverse CPU non è
2186 banale.} Tutto questo comunque appartiene alle sottigliezze
2187 dell'implementazione del kernel; dal punto di vista dei programmi che girano
2188 in user space, anche quando si hanno più processori (e dei processi che sono
2189 eseguiti davvero in contemporanea), le politiche di scheduling riguardano
2190 semplicemente l'allocazione della risorsa \textsl{tempo di esecuzione}, la cui
2191 assegnazione sarà governata dai meccanismi di scelta delle priorità che
2192 restano gli stessi indipendentemente dal numero di processori.
2194 Si tenga conto poi che i processi non devono solo eseguire del codice: ad
2195 esempio molto spesso saranno impegnati in operazioni di I/O, o potranno
2196 venire bloccati da un comando dal terminale, o sospesi per un certo periodo di
2197 tempo. In tutti questi casi la CPU diventa disponibile ed è compito dello
2198 kernel provvedere a mettere in esecuzione un altro processo.
2200 Tutte queste possibilità sono caratterizzate da un diverso \textsl{stato} del
2201 processo, in Linux un processo può trovarsi in uno degli stati riportati in
2202 tab.~\ref{tab:proc_proc_states}; ma soltanto i processi che sono nello stato
2203 \textit{runnable} concorrono per l'esecuzione. Questo vuol dire che, qualunque
2204 sia la sua priorità, un processo non potrà mai essere messo in esecuzione
2205 fintanto che esso si trova in uno qualunque degli altri stati.
2210 \begin{tabular}[c]{|p{2.8cm}|c|p{10cm}|}
2212 \textbf{Stato} & \texttt{STAT} & \textbf{Descrizione} \\
2215 \textbf{Runnable}& \texttt{R} & Il processo è in esecuzione o è pronto ad
2216 essere eseguito (cioè è in attesa che gli
2217 venga assegnata la CPU). \\
2218 \textbf{Sleep} & \texttt{S} & Il processo è in attesa di un
2219 risposta dal sistema, ma può essere
2220 interrotto da un segnale. \\
2221 \textbf{Uninterrutible Sleep}& \texttt{D} & Il processo è in
2222 attesa di un risposta dal sistema (in
2223 genere per I/O), e non può essere
2224 interrotto in nessuna circostanza. \\
2225 \textbf{Stopped} & \texttt{T} & Il processo è stato fermato con un
2226 \const{SIGSTOP}, o è tracciato.\\
2227 \textbf{Zombie}\index{zombie} & \texttt{Z} & Il processo è terminato ma il
2228 suo stato di terminazione non è ancora
2229 stato letto dal padre. \\
2232 \caption{Elenco dei possibili stati di un processo in Linux, nella colonna
2233 \texttt{STAT} si è riportata la corrispondente lettera usata dal comando
2234 \cmd{ps} nell'omonimo campo.}
2235 \label{tab:proc_proc_states}
2238 Si deve quindi tenere presente che l'utilizzo della CPU è soltanto una delle
2239 risorse che sono necessarie per l'esecuzione di un programma, e a seconda
2240 dello scopo del programma non è detto neanche che sia la più importante (molti
2241 programmi dipendono in maniera molto più critica dall'I/O). Per questo motivo
2242 non è affatto detto che dare ad un programma la massima priorità di esecuzione
2243 abbia risultati significativi in termini di prestazioni.
2245 Il meccanismo tradizionale di scheduling di Unix (che tratteremo in
2246 sez.~\ref{sec:proc_sched_stand}) è sempre stato basato su delle
2247 \textsl{priorità dinamiche}, in modo da assicurare che tutti i processi, anche
2248 i meno importanti, possano ricevere un po' di tempo di CPU. In sostanza quando
2249 un processo ottiene la CPU la sua priorità viene diminuita. In questo modo
2250 alla fine, anche un processo con priorità iniziale molto bassa, finisce per
2251 avere una priorità sufficiente per essere eseguito.
2253 Lo standard POSIX.1b però ha introdotto il concetto di \textsl{priorità
2254 assoluta}, (chiamata anche \textsl{priorità statica}, in contrapposizione
2255 alla normale priorità dinamica), per tenere conto dei sistemi
2256 real-time,\footnote{per sistema real-time si intende un sistema in grado di
2257 eseguire operazioni in un tempo ben determinato; in genere si tende a
2258 distinguere fra l'\textit{hard real-time} in cui è necessario che i tempi di
2259 esecuzione di un programma siano determinabili con certezza assoluta (come
2260 nel caso di meccanismi di controllo di macchine, dove uno sforamento dei
2261 tempi avrebbe conseguenze disastrose), e \textit{soft-real-time} in cui un
2262 occasionale sforamento è ritenuto accettabile.} in cui è vitale che i
2263 processi che devono essere eseguiti in un determinato momento non debbano
2264 aspettare la conclusione di altri che non hanno questa necessità.
2266 Il concetto di priorità assoluta dice che quando due processi si contendono
2267 l'esecuzione, vince sempre quello con la priorità assoluta più alta.
2268 Ovviamente questo avviene solo per i processi che sono pronti per essere
2269 eseguiti (cioè nello stato \textit{runnable}). La priorità assoluta viene in
2270 genere indicata con un numero intero, ed un valore più alto comporta una
2271 priorità maggiore. Su questa politica di scheduling torneremo in
2272 sez.~\ref{sec:proc_real_time}.
2274 In generale quello che succede in tutti gli Unix moderni è che ai processi
2275 normali viene sempre data una priorità assoluta pari a zero, e la decisione di
2276 assegnazione della CPU è fatta solo con il meccanismo tradizionale della
2277 priorità dinamica. In Linux tuttavia è possibile assegnare anche una priorità
2278 assoluta, nel qual caso un processo avrà la precedenza su tutti gli altri di
2279 priorità inferiore, che saranno eseguiti solo quando quest'ultimo non avrà
2283 \subsection{Il meccanismo di \textit{scheduling} standard}
2284 \label{sec:proc_sched_stand}
2286 A meno che non si abbiano esigenze specifiche, l'unico meccanismo di
2287 scheduling con il quale si avrà a che fare è quello tradizionale, che prevede
2288 solo priorità dinamiche. È di questo che, di norma, ci si dovrà preoccupare
2289 nella programmazione.
2291 Come accennato in Linux tutti i processi ordinari hanno la stessa priorità
2292 assoluta. Quello che determina quale, fra tutti i processi in attesa di
2293 esecuzione, sarà eseguito per primo, è la priorità dinamica, che è chiamata
2294 così proprio perché varia nel corso dell'esecuzione di un processo. Oltre a
2295 questo la priorità dinamica determina quanto a lungo un processo continuerà ad
2296 essere eseguito, e quando un processo potrà subentrare ad un altro
2299 Il meccanismo usato da Linux è piuttosto semplice,\footnote{in realtà nella
2300 serie 2.6.x lo scheduler è stato riscritto da zero e può usare diversi
2301 algoritmi, selezionabili sia in fase di compilazione, che, nelle versioni
2302 più recenti, all'avvio (addirittura è stato ideato un sistema modulare che
2303 permette di cambiare lo scheduler al volo, che comunque non è incluso nel
2304 kernel ufficiale).} ad ogni processo è assegnata una \textit{time-slice},
2305 cioè un intervallo di tempo (letteralmente una fetta) per il quale esso deve
2306 essere eseguito. Il valore della \textit{time-slice} è controllato dalla
2307 cosiddetta \textit{nice} (o \textit{niceness}) del processo. Essa è contenuta
2308 nel campo \var{nice} di \struct{task\_struct}; tutti i processi vengono creati
2309 con lo stesso valore, ed essa specifica il valore della durata iniziale della
2310 \textit{time-slice} che viene assegnato ad un altro campo della struttura
2311 (\var{counter}) quando il processo viene eseguito per la prima volta e
2312 diminuito progressivamente ad ogni interruzione del timer.
2314 Durante la sua esecuzione lo scheduler scandisce la coda dei processi in stato
2315 \textit{runnable} associando, in base al valore di \var{counter}, un peso ad
2316 ogni processo in attesa di esecuzione,\footnote{il calcolo del peso in realtà
2317 è un po' più complicato, ad esempio nei sistemi multiprocessore viene
2318 favorito un processo eseguito sulla stessa CPU, e a parità del valore di
2319 \var{counter} viene favorito chi ha una priorità più elevata.} chi ha il
2320 peso più alto verrà posto in esecuzione, ed il precedente processo sarà
2321 spostato in fondo alla coda. Dato che ad ogni interruzione del timer il
2322 valore di \var{counter} del processo corrente viene diminuito, questo assicura
2323 che anche i processi con priorità più bassa verranno messi in esecuzione.
2325 La priorità di un processo è così controllata attraverso il valore di
2326 \var{nice}, che stabilisce la durata della \textit{time-slice}; per il
2327 meccanismo appena descritto infatti un valore più lungo assicura una maggiore
2328 attribuzione di CPU. L'origine del nome di questo parametro sta nel fatto che
2329 generalmente questo viene usato per diminuire la priorità di un processo, come
2330 misura di cortesia nei confronti degli altri. I processi infatti vengono
2331 creati dal sistema con lo stesso valore di \var{nice} (nullo) e nessuno è
2332 privilegiato rispetto agli altri; il valore può essere modificato solo
2333 attraverso la funzione \funcd{nice}, il cui prototipo è:
2334 \begin{prototype}{unistd.h}
2336 Aumenta il valore di \var{nice} per il processo corrente.
2338 \bodydesc{La funzione ritorna zero in caso di successo e -1 in caso di
2339 errore, nel qual caso \var{errno} può assumere i valori:
2341 \item[\errcode{EPERM}] un processo senza i privilegi di amministratore ha
2342 specificato un valore di \param{inc} negativo.
2346 L'argomento \param{inc} indica l'incremento del valore di \var{nice}:
2347 quest'ultimo può assumere valori compresi fra \const{PRIO\_MIN} e
2348 \const{PRIO\_MAX} (che nel caso di Linux sono $-19$ e $20$), ma per
2349 \param{inc} si può specificare un valore qualunque, positivo o negativo, ed il
2350 sistema provvederà a troncare il risultato nell'intervallo consentito. Valori
2351 positivi comportano maggiore \textit{cortesia} e cioè una diminuzione della
2352 priorità, ogni utente può solo innalzare il valore di un suo processo. Solo
2353 l'amministratore può specificare valori negativi che permettono di aumentare
2354 la priorità di un processo.
2356 In SUSv2 la funzione ritorna il nuovo valore di \var{nice}; Linux non segue
2357 questa convenzione, e per leggere il nuovo valore occorre invece usare la
2358 funzione \funcd{getpriority}, derivata da BSD, il cui prototipo è:
2359 \begin{prototype}{sys/resource.h}
2360 {int getpriority(int which, int who)}
2362 Restituisce il valore di \var{nice} per l'insieme dei processi specificati.
2364 \bodydesc{La funzione ritorna la priorità in caso di successo e -1 in caso di
2365 errore, nel qual caso \var{errno} può assumere i valori:
2367 \item[\errcode{ESRCH}] non c'è nessun processo che corrisponda ai valori di
2368 \param{which} e \param{who}.
2369 \item[\errcode{EINVAL}] il valore di \param{which} non è valido.
2372 \noindent nelle vecchie versioni può essere necessario includere anche
2373 \file{<sys/time.h>}, questo non è più necessario con versioni recenti delle
2374 librerie, ma è comunque utile per portabilità.
2376 La funzione permette, a seconda del valore di \param{which}, di leggere la
2377 priorità di un processo, di un gruppo di processi (vedi
2378 sez.~\ref{sec:sess_proc_group}) o di un utente, specificando un corrispondente
2379 valore per \param{who} secondo la legenda di tab.~\ref{tab:proc_getpriority};
2380 un valore nullo di quest'ultimo indica il processo, il gruppo di processi o
2386 \begin{tabular}[c]{|c|c|l|}
2388 \param{which} & \param{who} & \textbf{Significato} \\
2391 \const{PRIO\_PROCESS} & \type{pid\_t} & processo \\
2392 \const{PRIO\_PRGR} & \type{pid\_t} & \itindex{process~group}
2393 \textit{process group} \\
2394 \const{PRIO\_USER} & \type{uid\_t} & utente \\
2397 \caption{Legenda del valore dell'argomento \param{which} e del tipo
2398 dell'argomento \param{who} delle funzioni \func{getpriority} e
2399 \func{setpriority} per le tre possibili scelte.}
2400 \label{tab:proc_getpriority}
2403 La funzione restituisce la priorità più alta (cioè il valore più basso) fra
2404 quelle dei processi specificati; dato che -1 è un valore possibile, per poter
2405 rilevare una condizione di errore è necessario cancellare sempre \var{errno}
2406 prima della chiamata alla funzione, per verificare che essa resti uguale a
2409 Analoga a \func{getpriority} la funzione \funcd{setpriority} permette di
2410 impostare la priorità di uno o più processi; il suo prototipo è:
2411 \begin{prototype}{sys/resource.h}
2412 {int setpriority(int which, int who, int prio)}
2413 Imposta la priorità per l'insieme dei processi specificati.
2415 \bodydesc{La funzione ritorna la priorità in caso di successo e -1 in caso di
2416 errore, nel qual caso \var{errno} può assumere i valori:
2418 \item[\errcode{ESRCH}] non c'è nessun processo che corrisponda ai valori di
2419 \param{which} e \param{who}.
2420 \item[\errcode{EINVAL}] il valore di \param{which} non è valido.
2421 \item[\errcode{EPERM}] un processo senza i privilegi di amministratore ha
2422 specificato un valore di \param{inc} negativo.
2423 \item[\errcode{EACCES}] un processo senza i privilegi di amministratore ha
2424 cercato di modificare la priorità di un processo di un altro utente.
2428 La funzione imposta la priorità al valore specificato da \param{prio} per
2429 tutti i processi indicati dagli argomenti \param{which} e \param{who}. La
2430 gestione dei permessi dipende dalle varie implementazioni; in Linux, secondo
2431 le specifiche dello standard SUSv3, e come avviene per tutti i sistemi che
2432 derivano da SysV, è richiesto che l'user-ID reale o effettivo del processo
2433 chiamante corrispondano al real user-ID (e solo quello) del processo di cui si
2434 vuole cambiare la priorità; per i sistemi derivati da BSD invece (SunOS,
2435 Ultrix, *BSD) la corrispondenza può essere anche con l'user-ID effettivo.
2439 \subsection{Il meccanismo di \textit{scheduling real-time}}
2440 \label{sec:proc_real_time}
2442 Come spiegato in sez.~\ref{sec:proc_sched} lo standard POSIX.1b ha introdotto
2443 le priorità assolute per permettere la gestione di processi real-time. In
2444 realtà nel caso di Linux non si tratta di un vero hard real-time, in quanto in
2445 presenza di eventuali interrupt il kernel interrompe l'esecuzione di un
2446 processo qualsiasi sia la sua priorità,\footnote{questo a meno che non si
2447 siano installate le patch di RTLinux, RTAI o Adeos, con i quali è possibile
2448 ottenere un sistema effettivamente hard real-time. In tal caso infatti gli
2449 interrupt vengono intercettati dall'interfaccia real-time (o nel caso di
2450 Adeos gestiti dalle code del nano-kernel), in modo da poterli controllare
2451 direttamente qualora ci sia la necessità di avere un processo con priorità
2452 più elevata di un \textit{interrupt handler}.} mentre con l'incorrere in un
2453 \textit{page fault}\itindex{page~fault} si possono avere ritardi non previsti.
2454 Se l'ultimo problema può essere aggirato attraverso l'uso delle funzioni di
2455 controllo della memoria virtuale (vedi sez.~\ref{sec:proc_mem_lock}), il primo
2456 non è superabile e può comportare ritardi non prevedibili riguardo ai tempi di
2457 esecuzione di qualunque processo.
2459 Occorre usare le priorità assolute con molta attenzione: se si dà ad un
2460 processo una priorità assoluta e questo finisce in un loop infinito, nessun
2461 altro processo potrà essere eseguito, ed esso sarà mantenuto in esecuzione
2462 permanentemente assorbendo tutta la CPU e senza nessuna possibilità di
2463 riottenere l'accesso al sistema. Per questo motivo è sempre opportuno, quando
2464 si lavora con processi che usano priorità assolute, tenere attiva una shell
2465 cui si sia assegnata la massima priorità assoluta, in modo da poter essere
2466 comunque in grado di rientrare nel sistema.
2468 Quando c'è un processo con priorità assoluta lo scheduler lo metterà in
2469 esecuzione prima di ogni processo normale. In caso di più processi sarà
2470 eseguito per primo quello con priorità assoluta più alta. Quando ci sono più
2471 processi con la stessa priorità assoluta questi vengono tenuti in una coda e
2472 tocca al kernel decidere quale deve essere eseguito. Il meccanismo con cui
2473 vengono gestiti questi processi dipende dalla politica di scheduling che si è
2474 scelta; lo standard ne prevede due:
2475 \begin{basedescript}{\desclabelwidth{1.2cm}\desclabelstyle{\nextlinelabel}}
2476 \item[\textit{FIFO}] \textit{First In First Out}. Il processo viene eseguito
2477 fintanto che non cede volontariamente la CPU (con \func{sched\_yield}), si
2478 blocca, finisce o viene interrotto da un processo a priorità più alta. Se il
2479 processo viene interrotto da uno a priorità più alta esso resterà in cima
2480 alla lista e sarà il primo ad essere eseguito quando i processi a priorità
2481 più alta diverranno inattivi. Se invece lo si blocca volontariamente sarà
2482 posto in coda alla lista (ed altri processi con la stessa priorità potranno
2484 \item[\textit{RR}] \textit{Round Robin}. Il comportamento è del tutto analogo
2485 a quello precedente, con la sola differenza che ciascun processo viene
2486 eseguito al massimo per un certo periodo di tempo (la cosiddetta
2487 \textit{time slice}) dopo di che viene automaticamente posto in fondo alla
2488 coda dei processi con la stessa priorità. In questo modo si ha comunque una
2489 esecuzione a turno di tutti i processi, da cui il nome della politica. Solo
2490 i processi con la stessa priorità ed in stato \textit{runnable} entrano nel
2494 La funzione per impostare le politiche di scheduling (sia real-time che
2495 ordinarie) ed i relativi parametri è \funcd{sched\_setscheduler}; il suo
2497 \begin{prototype}{sched.h}
2498 {int sched\_setscheduler(pid\_t pid, int policy, const struct sched\_param *p)}
2499 Imposta priorità e politica di scheduling.
2501 \bodydesc{La funzione ritorna la priorità in caso di successo e -1 in caso
2502 di errore, nel qual caso \var{errno} può assumere i valori:
2504 \item[\errcode{ESRCH}] il processo \param{pid} non esiste.
2505 \item[\errcode{EINVAL}] il valore di \param{policy} non esiste o il
2506 relativo valore di \param{p} non è valido.
2507 \item[\errcode{EPERM}] il processo non ha i privilegi per attivare la
2512 La funzione esegue l'impostazione per il processo specificato dall'argomento
2513 \param{pid}; un valore nullo esegue l'impostazione per il processo corrente.
2514 La politica di scheduling è specificata dall'argomento \param{policy} i cui
2515 possibili valori sono riportati in tab.~\ref{tab:proc_sched_policy}; un valore
2516 negativo per \param{policy} mantiene la politica di scheduling corrente.
2517 Solo un processo con i privilegi di amministratore può impostare priorità
2518 assolute diverse da zero o politiche \const{SCHED\_FIFO} e \const{SCHED\_RR}.
2523 \begin{tabular}[c]{|l|l|}
2525 \textbf{Policy} & \textbf{Significato} \\
2528 \const{SCHED\_FIFO} & Scheduling real-time con politica \textit{FIFO} \\
2529 \const{SCHED\_RR} & Scheduling real-time con politica \textit{Round
2531 \const{SCHED\_OTHER}& Scheduling ordinario\\
2534 \caption{Valori dell'argomento \param{policy} per la funzione
2535 \func{sched\_setscheduler}.}
2536 \label{tab:proc_sched_policy}
2539 Il valore della priorità è passato attraverso la struttura
2540 \struct{sched\_param} (riportata in fig.~\ref{fig:sig_sched_param}), il cui
2541 solo campo attualmente definito è \var{sched\_priority}, che nel caso delle
2542 priorità assolute deve essere specificato nell'intervallo fra un valore
2543 massimo ed uno minimo, che nel caso sono rispettivamente 1 e 99; il valore
2544 nullo è legale, ma indica i processi normali.
2546 \begin{figure}[!bht]
2547 \footnotesize \centering
2548 \begin{minipage}[c]{15cm}
2549 \includestruct{listati/sched_param.c}
2552 \caption{La struttura \structd{sched\_param}.}
2553 \label{fig:sig_sched_param}
2556 Si tenga presente che quando si imposta una politica di scheduling real-time
2557 per un processo (o se ne cambia la priorità con \func{sched\_setparam}) questo
2558 viene messo in cima alla lista dei processi con la stessa priorità; questo
2559 comporta che verrà eseguito subito, interrompendo eventuali altri processi con
2560 la stessa priorità in quel momento in esecuzione.
2562 Lo standard POSIX.1b prevede comunque che i due valori della massima e minima
2563 priorità statica possano essere ottenuti, per ciascuna delle politiche di
2564 scheduling \textit{real-time}, tramite le due funzioni
2565 \funcd{sched\_get\_priority\_max} e \funcd{sched\_get\_priority\_min}, i cui
2570 \funcdecl{int sched\_get\_priority\_max(int policy)} Legge il valore
2571 massimo della priorità statica per la politica di scheduling \param{policy}.
2574 \funcdecl{int sched\_get\_priority\_min(int policy)} Legge il valore minimo
2575 della priorità statica per la politica di scheduling \param{policy}.
2577 \bodydesc{La funzioni ritornano il valore della priorità in caso di successo
2578 e -1 in caso di errore, nel qual caso \var{errno} può assumere i valori:
2580 \item[\errcode{EINVAL}] il valore di \param{policy} non è valido.
2585 I processi con politica di scheduling \const{SCHED\_OTHER} devono specificare
2586 un valore nullo (altrimenti si avrà un errore \errcode{EINVAL}), questo valore
2587 infatti non ha niente a che vedere con la priorità dinamica determinata dal
2588 valore di \var{nice}, che deve essere impostato con le funzioni viste in
2591 Il kernel mantiene i processi con la stessa priorità assoluta in una lista, ed
2592 esegue sempre il primo della lista, mentre un nuovo processo che torna in
2593 stato \textit{runnable} viene sempre inserito in coda alla lista. Se la
2594 politica scelta è \const{SCHED\_FIFO} quando il processo viene eseguito viene
2595 automaticamente rimesso in coda alla lista, e la sua esecuzione continua
2596 fintanto che non viene bloccato da una richiesta di I/O, o non rilascia
2597 volontariamente la CPU (in tal caso, tornando nello stato \textit{runnable}
2598 sarà reinserito in coda alla lista); l'esecuzione viene ripresa subito solo
2599 nel caso che esso sia stato interrotto da un processo a priorità più alta.
2601 Se si intende operare solo sulla priorità assoluta di un processo si possono
2602 usare le funzioni \funcd{sched\_setparam} e \funcd{sched\_getparam}, i cui
2607 \funcdecl{int sched\_setparam(pid\_t pid, const struct sched\_param *p)}
2608 Imposta la priorità assoluta del processo \param{pid}.
2610 \funcdecl{int sched\_getparam(pid\_t pid, struct sched\_param *p)}
2611 Legge la priorità assoluta del processo \param{pid}.
2613 \bodydesc{La funzione ritorna la priorità in caso di successo
2614 e -1 in caso di errore, nel qual caso \var{errno} può assumere i valori:
2616 \item[\errcode{ESRCH}] il processo \param{pid} non esiste.
2617 \item[\errcode{EINVAL}] il valore di \param{p} non ha senso per la
2619 \item[\errcode{EPERM}] il processo non ha i privilegi sufficienti per
2620 eseguire l'operazione.
2624 L'uso di \func{sched\_setparam} che è del tutto equivalente a
2625 \func{sched\_setscheduler} con \param{priority} uguale a -1. Come per
2626 \func{sched\_setscheduler} specificando 0 come valore di \param{pid} si opera
2627 sul processo corrente. La disponibilità di entrambe le funzioni può essere
2628 verificata controllando la macro \macro{\_POSIX\_PRIORITY\_SCHEDULING} che è
2629 definita nell'header \file{sched.h}.
2631 Si tenga presente che per eseguire la funzione il processo chiamante deve
2632 avere un user-ID effettivo uguale all'user-ID reale o a quello effettivo del
2633 processo di cui vuole cambiare la priorità, oppure deve avere i privilegi di
2634 amministratore (con la capacità \const{CAP\_SYS\_NICE}).
2636 La priorità assoluta può essere riletta indietro dalla funzione
2637 \funcd{sched\_getscheduler}, il cui prototipo è:
2638 \begin{prototype}{sched.h}
2639 {int sched\_getscheduler(pid\_t pid)}
2640 Legge la politica di scheduling per il processo \param{pid}.
2642 \bodydesc{La funzione ritorna la politica di scheduling in caso di successo
2643 e -1 in caso di errore, nel qual caso \var{errno} può assumere i valori:
2645 \item[\errcode{ESRCH}] il processo \param{pid} non esiste.
2646 \item[\errcode{EINVAL}] il valore di \param{pid} è negativo.
2650 La funzione restituisce il valore (secondo quanto elencato in
2651 tab.~\ref{tab:proc_sched_policy}) della politica di scheduling per il processo
2652 specificato; se \param{pid} è nullo viene restituito quello del processo
2655 L'ultima funzione che permette di leggere le informazioni relative ai processi
2656 real-time è \funcd{sched\_rr\_get\_interval}, che permette di ottenere la
2657 lunghezza della \textit{time slice} usata dalla politica \textit{round robin};
2659 \begin{prototype}{sched.h}
2660 {int sched\_rr\_get\_interval(pid\_t pid, struct timespec *tp)} Legge in
2661 \param{tp} la durata della \textit{time slice} per il processo \param{pid}.
2663 \bodydesc{La funzione ritorna 0 in caso di successo e -1 in caso di errore,
2664 nel qual caso \var{errno} può assumere i valori:
2666 \item[\errcode{ESRCH}] il processo \param{pid} non esiste.
2667 \item[\errcode{ENOSYS}] la system call non è stata implementata.
2671 La funzione restituisce il valore dell'intervallo di tempo usato per la
2672 politica \textit{round robin} in una struttura \struct{timespec}, (la cui
2673 definizione si può trovare in fig.~\ref{fig:sys_timeval_struct}). In realtà
2674 dato che in Linux questo intervallo di tempo è prefissato e non modificabile,
2675 questa funzione ritorna sempre un valore di 150 millisecondi, e non importa
2676 specificare il PID di un processo reale.
2679 Come accennato ogni processo che usa lo scheduling real-time può rilasciare
2680 volontariamente la CPU; questo viene fatto attraverso la funzione
2681 \funcd{sched\_yield}, il cui prototipo è:
2682 \begin{prototype}{sched.h}
2683 {int sched\_yield(void)}
2685 Rilascia volontariamente l'esecuzione.
2687 \bodydesc{La funzione ritorna 0 in caso di successo e -1 in caso di errore,
2688 nel qual caso \var{errno} viene impostata opportunamente.}
2691 La funzione fa sì che il processo rilasci la CPU, in modo da essere rimesso in
2692 coda alla lista dei processi da eseguire, e permettere l'esecuzione di un
2693 altro processo; se però il processo è l'unico ad essere presente sulla coda
2694 l'esecuzione non sarà interrotta. In genere usano questa funzione i processi
2695 in modalità \textit{fifo}, per permettere l'esecuzione degli altri processi
2696 con pari priorità quando la sezione più urgente è finita.
2698 Infine con il supporto dei sistemi multiprocessore sono state introdotte delle
2699 funzioni che permettono di controllare in maniera più dettagliata la scelta di
2700 quale processore utilizzare per eseguire un certo programma. Uno dei problemi
2701 che si pongono nei sistemi multiprocessore è infatti quello
2702 dell'\textsl{effetto ping-pong}.\index{effetto~ping-pong} Può accadere cioè
2703 che lo scheduler, quando riavvia un processo precedentemente interrotto,
2704 scegliendo il primo processore disponibile lo faccia eseguire da un processore
2705 diverso rispetto a quello su cui era stato eseguito in precedenza. Se il
2706 processo passa da un processore all'altro in questo modo (cosa che avveniva
2707 abbastanza di frequente con i kernel della seria 2.4.x) si ha
2708 l'\textsl{effetto ping-pong}.
2710 Questo tipo di comportamento può generare dei seri problemi di prestazioni;
2711 infatti tutti i processori moderni utilizzano una memoria interna (la
2712 \textit{cache}) contenente i dati più usati, che permette di evitare di
2713 eseguire un accesso (molto più lento) alla memoria principale sulla scheda
2714 madre. Chiaramente un processo sarà favorito se i suoi dati sono nella cache
2715 del processore, ma è ovvio che questo può essere vero solo per un processore
2716 alla volta, perché in presenza di più copie degli stessi dati su più
2717 processori, non si potrebbe determinare quale di questi ha la versione dei
2718 dati aggiornata rispetto alla memoria principale.
2720 Questo comporta che quando un processore inserisce un dato nella sua cache,
2721 tutti gli altri processori che hanno lo stesso dato devono invalidarlo, e
2722 questa operazione è molto costosa in termini di prestazioni. Il problema
2723 diventa serio quando si verifica l'\textsl{effetto ping-pong}, in tal caso
2724 infatti un processo \textsl{rimbalza} continuamente da un processore all'altro
2725 e si ha una continua invalidazione della cache, che non diventa mai
2728 \itindbeg{CPU~affinity}
2729 Per ovviare a questo tipo di problemi è nato il concetto di \textsl{affinità
2730 di processore} (o \textit{CPU affinity}); la
2731 possibilità cioè di far sì che un processo possa essere assegnato per
2732 l'esecuzione sempre allo stesso processore. Lo scheduler dei kernel della
2733 serie 2.4.x aveva una scarsa \textit{CPU affinity}, e
2734 \index{effetto~ping-pong} l'effetto ping-pong era comune; con il nuovo
2735 scheduler dei kernel della 2.6.x questo problema è stato risolto ed esso cerca
2736 di mantenere il più possibile ciascun processo sullo stesso processore.
2738 In certi casi però resta l'esigenza di poter essere sicuri che un processo sia
2739 sempre eseguito dallo stesso processore,\footnote{quella che viene detta
2740 \textit{hard CPU affinity}, in contrasto con quella fornita dallo scheduler,
2741 detta \textit{soft CPU affinity}, che di norma indica solo una preferenza,
2742 non un requisito assoluto.} e per poter risolvere questo tipo di
2743 problematiche nei nuovi kernel\footnote{le due system call per la gestione
2744 della \textit{CPU affinity} sono state introdotte nel kernel 2.5.8, e le
2745 funzioni di libreria nelle \textsl{glibc} 2.3.} è stata introdotta
2746 l'opportuna infrastruttura ed una nuova system call che permette di impostare
2747 su quali processori far eseguire un determinato processo attraverso una
2748 \textsl{maschera di affinità}. La corrispondente funzione di libreria è
2749 \funcd{sched\_setaffinity} ed il suo prototipo\footnote{di questa funzione (e
2750 della corrispondente \func{sched\_setaffinity}) esistono versioni diverse
2751 per gli argomenti successivi a \param{pid}: la prima (quella riportata nella
2752 pagina di manuale) prevedeva due ulteriori argomenti di tipo
2753 \texttt{unsigned int len} e \texttt{unsigned long *mask}, poi l'argomento
2754 \texttt{len} è stato eliminato, successivamente si è introdotta la versione
2755 riportata con però un secondo argomento di tipo \texttt{size\_t cpusetsize}
2756 (anche questa citata nella pagina di manuale); la versione citata è quella
2757 riportata nel manuale delle \textsl{glibc} e corripondente alla definizione
2758 presente in \file{sched.h}.} è:
2759 \begin{prototype}{sched.h}
2760 {int sched\_setaffinity (pid\_t pid, const cpu\_set\_t *cpuset)}
2761 Imposta la maschera di affinità del processo \param{pid}.
2763 \bodydesc{La funzione ritorna 0 in caso di successo e -1 in caso di errore,
2764 nel qual caso \var{errno} può assumere i valori:
2766 \item[\errcode{ESRCH}] il processo \param{pid} non esiste.
2767 \item[\errcode{EINVAL}] il valore di \param{cpuset} contiene riferimenti a
2768 processori non esistenti nel sistema.
2769 \item[\errcode{EPERM}] il processo non ha i privilegi sufficienti per
2770 eseguire l'operazione.
2772 ed inoltre anche \errval{EFAULT}.}
2775 La funzione imposta, con l'uso del valore contenuto all'indirizzo
2776 \param{cpuset}, l'insieme dei processori sui quali deve essere eseguito il
2777 processo identificato tramite il valore passato in \param{pid}. Come in
2778 precedenza il valore nullo di \param{pid} indica il processo corrente. Per
2779 poter utilizzare questa funzione sono richiesti i privilegi di amministratore
2780 (è necessaria la capacità \const{CAP\_SYS\_NICE}) altrimenti essa fallirà con
2781 un errore di \errcode{EPERM}. Una volta impostata una maschera di affinità,
2782 questa viene ereditata attraverso una \func{fork}, in questo modo diventa
2783 possibile legare automaticamente un gruppo di processi ad un singolo
2786 Nell'uso comune, almeno con i kernel della serie 2.6.x, l'uso di questa
2787 funzione non è necessario, in quanto è lo scheduler stesso che provvede a
2788 mantenere al meglio l'affinità di processore. Esistono però esigenze
2789 particolari, ad esempio quando un processo (o un gruppo di processi) è
2790 utilizzato per un compito importante (ad esempio per applicazioni real-time o
2791 la cui risposta è critica) e si vuole la massima velocità, con questa
2792 interfaccia diventa possibile selezionare gruppi di processori utilizzabili in
2793 maniera esclusiva. Lo stesso dicasi quando l'accesso a certe risorse (memoria
2794 o periferiche) può avere un costo diverso a seconda del processore (come
2795 avviene nelle architetture NUMA).
2797 Infine se un gruppo di processi accede alle stesse risorse condivise (ad
2798 esempio una applicazione con più thread) può avere senso usare lo stesso
2799 processore in modo da sfruttare meglio l'uso della sua cache; questo
2800 ovviamente riduce i benefici di un sistema multiprocessore nell'esecuzione
2801 contemporanea dei thread, ma in certi casi (quando i thread sono inerentemente
2802 serializzati nell'accesso ad una risorsa) possono esserci sufficienti vantaggi
2803 nell'evitare la perdita della cache da rendere conveniente l'uso dell'affinità
2806 Per facilitare l'uso dell'argomento \param{cpuset} le \acr{glibc} hanno
2807 introdotto un apposito dato di tipo, \ctyp{cpu\_set\_t},\footnote{questa è una
2808 estensione specifica delle \acr{glibc}, da attivare definendo la macro
2809 \macro{\_GNU\_SOURCE}, non esiste infatti una standardardizzazione per
2810 questo tipo di interfaccia e POSIX al momento non prevede nulla al
2811 riguardo.} che permette di identificare un insieme di processori. Il dato è
2812 una maschera binaria: in generale è un intero a 32 bit in cui ogni bit
2813 corrisponde ad un processore, ma dato che per architetture particolari il
2814 numero di bit di un intero può non essere sufficiente, è stata creata questa
2815 che è una interfaccia generica che permette di usare a basso livello un tipo
2816 di dato qualunque rendendosi indipendenti dal numero di bit e dalla loro
2819 Questa interfaccia, oltre alla definizione del tipo di dato apposito, prevede
2820 anche una serie di macro di preprocessore per la manipolazione dello stesso,
2821 che consentono di svuotare un insieme, aggiungere o togliere un processore da
2822 esso o verificare se vi è già presente:
2825 \funcdecl{void \macro{CPU\_ZERO}(cpu\_set\_t *set)}
2826 Inizializza l'insieme (vuoto).
2828 \funcdecl{void \macro{CPU\_SET}(int cpu, cpu\_set\_t *set)}
2829 Inserisce il processore \param{cpu} nell'insieme.
2831 \funcdecl{void \macro{CPU\_CLR}(int cpu, cpu\_set\_t *set)}
2832 Rimuove il processore \param{cpu} nell'insieme.
2834 \funcdecl{int \macro{CPU\_ISSET}(int cpu, cpu\_set\_t *set)}
2835 Controlla se il processore \param{cpu} è nell'insieme.
2838 Oltre a queste macro, simili alle analoghe usate per gli insiemi di file
2839 descriptor (vedi sez.~\ref{sec:file_select}) è definita la costante
2840 \const{CPU\_SETSIZE} che indica il numero massimo di processori che possono
2841 far parte dell'insieme, e che costituisce un limite massimo al valore
2842 dell'argomento \param{cpu}.
2844 In generale la maschera di affinità è preimpostata in modo che un processo
2845 possa essere eseguito su qualunque processore, se può comunque leggere il
2846 valore per un processo specifico usando la funzione
2847 \funcd{sched\_getaffinity}, il suo prototipo è:
2848 \begin{prototype}{sched.h}
2849 {int sched\_getaffinity (pid\_t pid, const cpu\_set\_t *cpuset)}
2850 Legge la maschera di affinità del processo \param{pid}.
2852 \bodydesc{La funzione ritorna 0 in caso di successo e -1 in caso di errore,
2853 nel qual caso \var{errno} può assumere i valori:
2855 \item[\errcode{ESRCH}] il processo \param{pid} non esiste.
2856 \item[\errcode{EFAULT}] il valore di \param{cpuset} non è un indirizzo
2861 La funzione restituirà all'indirizzo specificato da \param{cpuset} il valore
2862 della maschera di affinità del processo, così da poterla riutilizzare per una
2863 successiva reimpostazione. In questo caso non sono necessari privilegi
2866 È chiaro che queste funzioni per la gestione dell'affinità hanno significato
2867 soltanto su un sistema multiprocessore, esse possono comunque essere
2868 utilizzate anche in un sistema con un processore singolo, nel qual caso però
2869 non avranno alcun risultato effettivo.
2870 \itindend{scheduler}
2871 \itindend{CPU~affinity}
2875 \section{Problematiche di programmazione multitasking}
2876 \label{sec:proc_multi_prog}
2878 Benché i processi siano strutturati in modo da apparire il più possibile come
2879 indipendenti l'uno dall'altro, nella programmazione in un sistema multitasking
2880 occorre tenere conto di una serie di problematiche che normalmente non
2881 esistono quando si ha a che fare con un sistema in cui viene eseguito un solo
2882 programma alla volta.
2884 Pur essendo questo argomento di carattere generale, ci è parso opportuno
2885 introdurre sinteticamente queste problematiche, che ritroveremo a più riprese
2886 in capitoli successivi, in questa sezione conclusiva del capitolo in cui
2887 abbiamo affrontato la gestione dei processi.
2890 \subsection{Le operazioni atomiche}
2891 \label{sec:proc_atom_oper}
2893 La nozione di \textsl{operazione atomica} deriva dal significato greco della
2894 parola atomo, cioè indivisibile; si dice infatti che un'operazione è atomica
2895 quando si ha la certezza che, qualora essa venga effettuata, tutti i passaggi
2896 che devono essere compiuti per realizzarla verranno eseguiti senza possibilità
2897 di interruzione in una fase intermedia.
2899 In un ambiente multitasking il concetto è essenziale, dato che un processo può
2900 essere interrotto in qualunque momento dal kernel che mette in esecuzione un
2901 altro processo o dalla ricezione di un segnale; occorre pertanto essere
2902 accorti nei confronti delle possibili \textit{race
2903 condition}\itindex{race~condition} (vedi sez.~\ref{sec:proc_race_cond})
2904 derivanti da operazioni interrotte in una fase in cui non erano ancora state
2907 Nel caso dell'interazione fra processi la situazione è molto più semplice, ed
2908 occorre preoccuparsi della atomicità delle operazioni solo quando si ha a che
2909 fare con meccanismi di intercomunicazione (che esamineremo in dettaglio in
2910 cap.~\ref{cha:IPC}) o nelle operazioni con i file (vedremo alcuni esempi in
2911 sez.~\ref{sec:file_atomic}). In questi casi in genere l'uso delle appropriate
2912 funzioni di libreria per compiere le operazioni necessarie è garanzia
2913 sufficiente di atomicità in quanto le system call con cui esse sono realizzate
2914 non possono essere interrotte (o subire interferenze pericolose) da altri
2917 Nel caso dei segnali invece la situazione è molto più delicata, in quanto lo
2918 stesso processo, e pure alcune system call, possono essere interrotti in
2919 qualunque momento, e le operazioni di un eventuale \textit{signal handler}
2920 sono compiute nello stesso spazio di indirizzi del processo. Per questo, anche
2921 il solo accesso o l'assegnazione di una variabile possono non essere più
2922 operazioni atomiche (torneremo su questi aspetti in
2923 sez.~\ref{sec:sig_control}).
2925 In questo caso il sistema provvede un tipo di dato, il \type{sig\_atomic\_t},
2926 il cui accesso è assicurato essere atomico. In pratica comunque si può
2927 assumere che, in ogni piattaforma su cui è implementato Linux, il tipo
2928 \ctyp{int}, gli altri interi di dimensione inferiore ed i puntatori sono
2929 atomici. Non è affatto detto che lo stesso valga per interi di dimensioni
2930 maggiori (in cui l'accesso può comportare più istruzioni in assembler) o per
2931 le strutture. In tutti questi casi è anche opportuno marcare come
2932 \direct{volatile} le variabili che possono essere interessate ad accesso
2933 condiviso, onde evitare problemi con le ottimizzazioni del codice.
2937 \subsection{Le \textit{race condition} ed i \textit{deadlock}}
2938 \label{sec:proc_race_cond}
2940 \itindbeg{race~condition}
2941 Si definiscono \textit{race condition} tutte quelle situazioni in cui processi
2942 diversi operano su una risorsa comune, ed in cui il risultato viene a
2943 dipendere dall'ordine in cui essi effettuano le loro operazioni. Il caso
2944 tipico è quello di un'operazione che viene eseguita da un processo in più
2945 passi, e può essere compromessa dall'intervento di un altro processo che
2946 accede alla stessa risorsa quando ancora non tutti i passi sono stati
2949 Dato che in un sistema multitasking ogni processo può essere interrotto in
2950 qualunque momento per farne subentrare un altro in esecuzione, niente può
2951 assicurare un preciso ordine di esecuzione fra processi diversi o che una
2952 sezione di un programma possa essere eseguita senza interruzioni da parte di
2953 altri. Queste situazioni comportano pertanto errori estremamente subdoli e
2954 difficili da tracciare, in quanto nella maggior parte dei casi tutto
2955 funzionerà regolarmente, e solo occasionalmente si avranno degli errori.
2957 Per questo occorre essere ben consapevoli di queste problematiche, e del fatto
2958 che l'unico modo per evitarle è quello di riconoscerle come tali e prendere
2959 gli adeguati provvedimenti per far sì che non si verifichino. Casi tipici di
2960 \textit{race condition} si hanno quando diversi processi accedono allo stesso
2961 file, o nell'accesso a meccanismi di intercomunicazione come la memoria
2962 condivisa. In questi casi, se non si dispone della possibilità di eseguire
2963 atomicamente le operazioni necessarie, occorre che quelle parti di codice in
2964 cui si compiono le operazioni sulle risorse condivise (le cosiddette
2965 \textsl{sezioni critiche}\index{sezioni~critiche}) del programma, siano
2966 opportunamente protette da meccanismi di sincronizzazione (torneremo su queste
2967 problematiche di questo tipo in cap.~\ref{cha:IPC}).
2970 Un caso particolare di \textit{race condition} sono poi i cosiddetti
2971 \textit{deadlock}, particolarmente gravi in quanto comportano spesso il blocco
2972 completo di un servizio, e non il fallimento di una singola operazione. Per
2973 definizione un \textit{deadlock} è una situazione in cui due o più processi
2974 non sono più in grado di proseguire perché ciascuno aspetta il risultato di
2975 una operazione che dovrebbe essere eseguita dall'altro.
2978 L'esempio tipico di una situazione che può condurre ad un
2979 \textit{deadlock} è quello in cui un flag di
2980 ``\textsl{occupazione}'' viene rilasciato da un evento asincrono (come un
2981 segnale o un altro processo) fra il momento in cui lo si è controllato
2982 (trovandolo occupato) e la successiva operazione di attesa per lo sblocco. In
2983 questo caso, dato che l'evento di sblocco del flag è avvenuto senza che ce ne
2984 accorgessimo proprio fra il controllo e la messa in attesa, quest'ultima
2985 diventerà perpetua (da cui il nome di \textit{deadlock}).
2987 In tutti questi casi è di fondamentale importanza il concetto di atomicità
2988 visto in sez.~\ref{sec:proc_atom_oper}; questi problemi infatti possono essere
2989 risolti soltanto assicurandosi, quando essa sia richiesta, che sia possibile
2990 eseguire in maniera atomica le operazioni necessarie.
2991 \itindend{race~condition}
2995 \subsection{Le funzioni rientranti}
2996 \label{sec:proc_reentrant}
2998 Si dice \textsl{rientrante} una funzione che può essere interrotta in
2999 qualunque punto della sua esecuzione ed essere chiamata una seconda volta da
3000 un altro thread di esecuzione senza che questo comporti nessun problema
3001 nell'esecuzione della stessa. La problematica è comune nella programmazione
3002 multi-thread, ma si hanno gli stessi problemi quando si vogliono chiamare
3003 delle funzioni all'interno dei gestori dei segnali.
3005 Fintanto che una funzione opera soltanto con le variabili locali è rientrante;
3006 queste infatti vengono allocate nello \itindex{stack} stack, e un'altra
3007 invocazione non fa altro che allocarne un'altra copia. Una funzione può non
3008 essere rientrante quando opera su memoria che non è nello \itindex{stack}
3009 stack. Ad esempio una funzione non è mai rientrante se usa una variabile
3012 Nel caso invece la funzione operi su un oggetto allocato dinamicamente, la
3013 cosa viene a dipendere da come avvengono le operazioni: se l'oggetto è creato
3014 ogni volta e ritornato indietro la funzione può essere rientrante, se invece
3015 esso viene individuato dalla funzione stessa due chiamate alla stessa funzione
3016 potranno interferire quando entrambe faranno riferimento allo stesso oggetto.
3017 Allo stesso modo una funzione può non essere rientrante se usa e modifica un
3018 oggetto che le viene fornito dal chiamante: due chiamate possono interferire
3019 se viene passato lo stesso oggetto; in tutti questi casi occorre molta cura da
3020 parte del programmatore.
3022 In genere le funzioni di libreria non sono rientranti, molte di esse ad
3023 esempio utilizzano variabili statiche, le \acr{glibc} però mettono a
3024 disposizione due macro di compilatore, \macro{\_REENTRANT} e
3025 \macro{\_THREAD\_SAFE}, la cui definizione attiva le versioni rientranti di
3026 varie funzioni di libreria, che sono identificate aggiungendo il suffisso
3027 \code{\_r} al nome della versione normale.
3031 %%% Local Variables:
3033 %%% TeX-master: "gapil"