1 \chapter{La gestione dei processi}
2 \label{cha:process_handling}
4 Come accennato nell'introduzione in un sistema unix ogni attività del sistema
5 viene svolta tramite i processi. In sostanza i processi costituiscono l'unità
6 base per l'allocazione e l'uso delle risorse del sistema.
8 Nel precedente capitolo abbiamo visto come funziona un singolo processo, in
9 questo capitolo affronteremo i dettagli della creazione e della distruzione
10 dei processi, della gestione dei loro attributi e privilegi, e di tutte le
11 funzioni a questo connesse.
14 \section{Introduzione}
17 Partiremo con una introduzione generale ai concetti che stanno alla base della
18 gestione dei processi in unix. Introdurremo in questa sezione l'architettura
19 della gestione dei processi e le sue principali caratteristiche, e daremo una
20 panoramica sull'uso delle principali funzioni per la gestione dei processi.
22 \subsection{La gerarchia dei processi}
23 \label{sec:proc_hierarchy}
25 A differenza di quanto avviene in altri sistemi (ad esempio nel VMS la
26 generazione di nuovi processi è un'operazione privilegiata) una delle
27 caratteristiche di unix (che esamineremo in dettaglio più avanti) è che
28 qualunque processo può a sua volta generarne altri, detti processi figli
29 (\textit{child process}). Ogni processo è identificato presso il sistema da un
30 numero unico, il cosiddetto \textit{process identifier} o, più brevemente,
33 Una seconda caratteristica di un sistema unix è che la generazione di un
34 processo è una operazione separata rispetto al lancio di un programma. In
35 genere la sequenza è sempre quella di creare un nuovo processo, il quale
36 eseguirà, in un passo successivo, il programma voluto: questo è ad esempio
37 quello che fa la shell quando mette in esecuzione il programma che gli
38 indichiamo nella linea di comando.
40 Una terza caratteristica è che ogni processo è sempre stato generato da un
41 altro, che viene chiamato processo padre (\textit{parent process}). Questo
42 vale per tutti i processi, con una sola eccezione: dato che ci deve essere un
43 punto di partenza esiste un processo speciale (che normalmente è
44 \cmd{/sbin/init}), che viene lanciato dal kernel alla conclusione della fase
45 di avvio; essendo questo il primo processo lanciato dal sistema ha sempre il
46 \acr{pid} uguale a 1 e non è figlio di nessun altro processo.
48 Ovviamente \cmd{init} è un processo speciale che in genere si occupa di far
49 partire tutti gli altri processi necessari al funzionamento del sistema,
50 inoltre \cmd{init} è essenziale per svolgere una serie di compiti
51 amministrativi nelle operazioni ordinarie del sistema (torneremo su alcuni di
52 essi in \secref{sec:proc_termination}) e non può mai essere terminato. La
53 struttura del sistema comunque consente di lanciare al posto di \cmd{init}
54 qualunque altro programma, e in casi di emergenza (ad esempio se il file di
55 \cmd{init} si fosse corrotto) è ad esempio possibile lanciare una shell al suo
56 posto, passando la riga \cmd{init=/bin/sh} come parametro di avvio.
61 [piccardi@gont piccardi]$ pstree -n
78 |-bash---startx---xinit-+-XFree86
79 | `-WindowMaker-+-ssh-agent
87 | |-wterm---bash---pstree
88 | `-wterm---bash-+-emacs
94 \caption{L'albero dei processi, così come riportato dal comando
99 Dato che tutti i processi attivi nel sistema sono comunque generati da
100 \cmd{init} o da uno dei suoi figli\footnote{in realtà questo non è del tutto
101 vero, in Linux ci sono alcuni processi che pur comparendo come figli di
102 init, o con \acr{pid} successivi, sono in realtà generati direttamente dal
103 kernel, (come \cmd{keventd}, \cmd{kswapd}, etc.)} si possono classificare i
104 processi con la relazione padre/figlio in una organizzazione gerarchica ad
105 albero, in maniera analoga a come i file sono organizzati in un albero di
106 directory (si veda \secref{sec:file_file_struct}); in \curfig\ si è mostrato il
107 risultato del comando \cmd{pstree} che permette di mostrare questa struttura,
108 alla cui base c'è \cmd{init} che è progenitore di tutti gli altri processi.
111 \subsection{Una panoramica sulle funzioni di gestione}
112 \label{sec:proc_handling_intro}
114 I processi vengono creati dalla funzione \func{fork}; in molti unix questa è
115 una system call, Linux però usa un'altra nomenclatura, e la funzione fork è
116 basata a sua volta sulla system call \func{\_\_clone}, che viene usata anche
117 per generare i \textit{thread}. Il processo figlio creato dalla \func{fork} è
118 una copia identica del processo processo padre, ma ha nuovo \acr{pid} e viene
119 eseguito in maniera indipendente (le differenze fra padre e figlio sono
120 affrontate in dettaglio in \secref{sec:proc_fork}).
122 Se si vuole che il processo padre si fermi fino alla conclusione del processo
123 figlio questo deve essere specificato subito dopo la \func{fork} chiamando la
124 funzione \func{wait} o la funzione \func{waitpid} (si veda
125 \secref{sec:proc_wait}); queste funzioni restituiscono anche una informazione
126 abbastanza limitata (lo stato di terminazione) sulle cause della terminazione
129 Quando un processo ha concluso il suo compito o ha incontrato un errore non
130 risolvibile esso può essere terminato con la funzione \func{exit} (si veda
131 quanto discusso in \secref{sec:proc_conclusion}). La vita del processo però
132 termina solo quando la notifica della sua conclusione viene ricevuta dal
133 processo padre, a quel punto tutte le risorse allocate nel sistema ad esso
134 associate vengono rilasciate.
136 Avere due processi che eseguono esattamente lo stesso codice non è molto
137 utile, normalmente si genera un secondo processo per affidargli l'esecuzione
138 di un compito specifico (ad esempio gestire una connessione dopo che questa è
139 stata stabilita), o fargli eseguire (come fa la shell) un altro programma. Per
140 quest'ultimo caso si usa la seconda funzione fondamentale per programmazione
141 coi processi che è la \func{exec}.
143 Il programma che un processo sta eseguendo si chiama immagine del processo (o
144 \textit{process image}), le funzioni della famiglia \func{exec} permettono di
145 caricare un'altro programma da disco sostituendo quest'ultimo all'immagine
146 corrente; questo fa si che l'immagine precedente venga completamente
147 cancellata. Questo significa che quando il nuovo programma esce anche il
148 processo termina, e non si può tornare alla precedente immagine.
150 Per questo motivo la \func{fork} e la \func{exec} sono funzioni molto
151 particolari con caratteristiche uniche rispetto a tutte le altre, infatti la
152 prima ritorna due volte (nel processo padre e nel figlio) mentre la seconda
153 non ritorna mai (in quanto con essa viene eseguito un altro programma).
157 \section{La gestione dei processi}
158 \label{sec:proc_handling}
160 In questa sezione tratteremo le funzioni per la gestione dei processi, a
161 partire dalle funzioni elementari che permettono di leggerne gli
162 identificatori, alle varie funzioni di manipolazione dei processi, che
163 riguardano la loro creazione, terminazione, e la messa in esecuzione di altri
167 \subsection{Gli identificatori dei processi}
170 Come accennato nell'introduzione ogni processo viene identificato dal sistema
171 da un numero identificativo unico, il \textit{process id} o \acr{pid};
172 quest'ultimo è un tipo di dato standard, il \type{pid\_t} che in genere è un
173 intero con segno (nel caso di Linux e delle glibc il tipo usato è \type{int}).
175 Il \acr{pid} viene assegnato in forma progressiva ogni volta che un nuovo
176 processo viene creato, fino ad un limite massimo (in genere essendo detto
177 numero memorizzato in un intero a 16 bit si arriva a 32767) oltre il quale si
178 riparte dal numero più basso disponibile (FIXME: verificare, non sono sicuro).
179 Per questo motivo processo il processo di avvio (\cmd{init}) ha sempre il
180 \acr{pid} uguale a uno.
182 Tutti i processi inoltre memorizzano anche il \acr{pid} del genitore da cui
183 sono stati creati, questo viene chiamato in genere \acr{ppid} (da
184 \textit{parent process id}). Questi due identificativi possono essere
185 ottenuti da programma usando le funzioni:
188 \headdecl{sys/types.h}
190 \funcdecl{pid\_t getpid(void)} restituisce il pid del processo corrente.
191 \funcdecl{pid\_t getppid(void)} restituisce il pid del padre del processo
194 Entrambe le funzioni non riportano condizioni di errore.
196 esempi dell'uso di queste funzioni sono riportati in
197 \figref{fig:proc_fork_code}, nel programma di esempio \file{ForkTest.c}.
199 Il fatto che il \acr{pid} sia un numero univoco per il sistema lo rende il
200 candidato ideale per generare ulteriori indicatori associati al processo di
201 cui diventa possibile garantire l'unicità: ad esempio la funzione
202 \func{tmpname} (si veda \secref{sec:file_temp_file}) usa il \acr{pid} per
203 generare un pathname univoco, che non potrà essere replicato da un'altro
204 processo che usi la stessa funzione.
206 Tutti i processi figli dello stesso processo padre sono detti
207 \textit{sibling}, questa è una delle relazioni usate nel \textsl{controllo di
208 sessione}, in cui si raggruppano i processi creati su uno stesso terminale,
209 o relativi allo stesso login. Torneremo su questo argomento in dettaglio in
210 \secref{cap:session}, dove esamineremo gli altri identificativi associati ad
211 un processo e le varie relazioni fra processi utilizzate per definire una
214 Oltre al \acr{pid} e al \acr{ppid}, e a quelli usati per il controllo di
215 sessione, ad ogni processo sono associati altri identificatori, usati per il
216 controllo di accesso, che servono per determinare se il processo può o meno
217 eseguire le operazioni richieste, a seconda dei privilegi e dell'identità di
218 chi lo ha posto in esecuzione; su questi torneremo in dettaglii più avanti in
219 \secref{sec:proc_perm}.
222 \subsection{La funzione \func{fork}}
223 \label{sec:proc_fork}
225 La funzione \func{fork} è la funzione fondamentale della gestione dei
226 processi: come si è detto l'unico modo di creare un nuovo processo è
227 attraverso l'uso di questa funzione, essa quindi riveste un ruolo centrale
228 tutte le volte che si devono scrivere programmi che usano il multitasking. Il
229 prototipo della funzione è:
232 \headdecl{sys/types.h}
234 \funcdecl{pid\_t fork(void)}
235 Restituisce zero al padre e il \acr{pid} al figlio in caso di successo,
236 ritorna -1 al padre (senza creare il figlio) in caso di errore;
237 \texttt{errno} può assumere i valori:
239 \item \macro{EAGAIN} non ci sono risorse sufficienti per creare un'altro
240 processo (per allocare la tabella delle pagine e le strutture del task) o
241 si è esaurito il numero di processi disponibili.
242 \item \macro{ENOMEM} non è stato possibile allocare la memoria per le
243 strutture necessarie al kernel per creare il nuovo processo.
247 Dopo il successo dell'esecuzione di una \func{fork} sia il processo padre che
248 il processo figlio continuano ad essere eseguiti normalmente alla istruzione
249 seguente la \func{fork}; il processo figlio è però una copia del padre, e
250 riceve una copia dei segmenti di testo, stack e dati (vedi
251 \secref{sec:proc_mem_layout}), ed esegue esattamente lo stesso codice del
252 padre, ma la memoria è copiata, non condivisa\footnote{In generale il segmento
253 di testo, che è identico, è condiviso e tenuto in read-only, Linux poi
254 utilizza la tecnica del \textit{copy-on-write}, per cui la memoria degli
255 altri segmenti viene copiata dal kernel per il nuovo processo solo in caso
256 di scrittura, rendendo molto più efficiente il meccanismo} pertanto padre e
257 figlio vedono variabili diverse.
259 La differenza che si ha nei due processi è che nel processo padre il valore di
260 ritorno della funzione fork è il \acr{pid} del processo figlio, mentre nel
261 figlio è zero; in questo modo il programma può identificare se viene eseguito
262 dal padre o dal figlio. Si noti come la funzione \func{fork} ritorni
263 \textbf{due} volte: una nel padre e una nel figlio. La sola differenza che si
264 ha nei due processi è il valore di ritorno restituito dalla funzione, che nel
265 padre è il \acr{pid} del figlio mentre nel figlio è zero; in questo modo il
266 programma può identificare se viene eseguito dal padre o dal figlio.
268 La scelta di questi valori non è casuale, un processo infatti può avere più
269 figli, ed il valore di ritorno di \func{fork} è l'unico modo che permette di
270 identificare quello appena creato; al contrario un figlio ha sempre un solo
271 padre (il cui \acr{pid} può sempre essere ottenuto con \func{getppid}, vedi
272 \secref{sec:proc_pid}) e si usa il valore nullo, che non può essere il
273 \acr{pid} di nessun processo.
278 #include <errno.h> /* error definitions and routines */
279 #include <stdlib.h> /* C standard library */
280 #include <unistd.h> /* unix standard library */
281 #include <stdio.h> /* standard I/O library */
282 #include <string.h> /* string functions */
284 /* Help printing routine */
287 int main(int argc, char *argv[])
290 * Variables definition
297 ... /* handling options */
298 nchild = atoi(argv[optind]);
299 printf("Test for forking %d child\n", nchild);
300 /* loop to fork children */
301 for (i=0; i<nchild; i++) {
302 if ( (pid = fork()) < 0) {
304 printf("Error on %d child creation, %s\n", i+1, strerror(errno));
307 if (pid == 0) { /* child */
308 printf("Child %d successfully executing\n", ++i);
309 if (wait_child) sleep(wait_child);
310 printf("Child %d, parent %d, exiting\n", i, getppid());
312 } else { /* parent */
313 printf("Spawned %d child, pid %d \n", i+1, pid);
314 if (wait_parent) sleep(wait_parent);
315 printf("Go to next child \n");
319 if (wait_end) sleep(wait_end);
323 \caption{Esempio di codice per la creazione di nuovi processi.}
324 \label{fig:proc_fork_code}
327 Normalmente la chiamata a \func{fork} può fallire solo per due ragioni, o ci
328 sono già troppi processi nel sistema (il che di solito è sintomo che
329 qualcos'altro non sta andando per il verso giusto) o si è ecceduto il limite
330 sul numero totale di processi permessi all'utente (il valore della costante
331 \macro{CHILD\_MAX} definito in \file{limits.h}, che fa riferimento ai processo
332 con lo stesso \textit{real user id}).
334 L'uso di \func{fork} avviene secondo due modalità principali; la prima è
335 quella in cui all'interno di un programma si creano processi figli per
336 affidargli l'esecuzione di una certa sezione di codice, mentre il processo
337 padre ne esegue un'altra. È il caso tipico dei server di rete in cui il padre
338 riceve ed accetta le richieste da parte dei client, per ciascuna delle quali
339 pone in esecuzione un figlio che è incaricato di fornire il servizio.
341 La seconda modalità è quella in cui il processo vuole eseguire un altro
342 programma; questo è ad esempio il caso della shell. In questo caso il processo
343 crea un figlio la cui unica operazione è quella fare una \func{exec} (di cui
344 parleremo in \secref{sec:proc_exec}) subito dopo la \func{fork}.
346 Alcuni sistemi operativi (il VMS ad esempio) combinano le operazioni di questa
347 seconda modalità (una \func{fork} seguita da una \func{exec}) in un'unica
348 operazione che viene chiamata \textit{spawn}. Nei sistemi unix-like è stato
349 scelto di mantenere questa separazione, dato che, come visto per la prima
350 modalità d'uso, esistono numerosi scenari in cui si può usare una \func{fork}
351 senza bisogno di una \func{exec}. Inoltre anche nel caso della seconda
352 modalità di operazioni, avere le due funzioni separate permette al figlio di
353 cambiare gli attributi del processo (maschera dei segnali, redirezione
354 dell'output, \textit{user id}) prima della \func{exec}, rendendo molto più
355 flessibile la possibilità di modificare gli attributi del nuovo processo.
357 In \curfig\ si è riportato il corpo del codice del programma di esempio
358 \cmd{forktest}, che ci permette di illustrare molte caratteristiche dell'uso
359 della funzione \func{fork}. Il programma permette di creare un numero di figli
360 specificato a linea di comando, e prende anche alcune opzioni per indicare
361 degli eventuali tempi di attesa in secondi (eseguiti tramite la funzione
362 \func{sleep}) per il padre ed il figlio (con \cmd{forktest -h} si ottiene la
363 descrizione delle opzioni); il codice completo, compresa la parte che gestisce
364 le opzioni a riga di comando, è disponibile nel file \file{ForkTest.c}.
366 Decifrato il numero di figli da creare, il ciclo principale del programma
367 (\texttt{\small 28--40}) esegue in successione la creazione dei processi figli
368 controllando il successo della chiamata a \func{fork} (\texttt{\small
369 29--31}); ciascun figlio (\texttt{\small 29--31}) si limita a stampare il
370 suo numero di successione, eventualmente attendere il numero di secondi
371 specificato e scrivere un messaggio prima di uscire. Il processo padre invece
372 (\texttt{\small 29--31}) stampa un messaggio di creazione, eventualmente
373 attende il numero di secondi specificato, e procede nell'esecuzione del ciclo;
374 alla conclusione del ciclo, prima di uscire, può essere specificato un altro
377 Se eseguiamo il comando senza specificare attese (come si può notare in
378 \texttt{\small 17--19} i valori di default specificano di non attendere),
379 otterremo come output sul terminale:
383 [piccardi@selidor sources]$ ./forktest 3
384 Process 1963: forking 3 child
385 Spawned 1 child, pid 1964
386 Child 1 successfully executing
387 Child 1, parent 1963, exiting
389 Spawned 2 child, pid 1965
390 Child 2 successfully executing
391 Child 2, parent 1963, exiting
393 Child 3 successfully executing
394 Child 3, parent 1963, exiting
395 Spawned 3 child, pid 1966
400 Esaminiamo questo risultato: una prima conclusione che si può trarre è non si
401 può dire quale processo fra il padre ed il figlio venga eseguito per
402 primo\footnote{anche se nel kernel 2.4.x era stato introdotto un meccanismo
403 che metteva in esecuzione sempre il xxx per primo (TODO recuperare le
404 informazioni esatte)} dopo la chiamata a \func{fork}; dall'esempio si può
405 notare infatti come nei primi due cicli sia stato eseguito per primo il padre
406 (con la stampa del \acr{pid} del nuovo processo) per poi passare
407 all'esecuzione del figlio (completata con i due avvisi di esecuzione ed
408 uscita), e tornare all'esecuzione del padre (con la stampa del passaggio al
409 ciclo successivo), mentre la terza volta è stato prima eseguito il figlio
410 (fino alla conclusione) e poi il padre.
412 In generale l'ordine di esecuzione dipenderà, oltre che dall'algoritmo di
413 scheduling usato dal kernel, dalla particolare situazione in si trova la
414 macchina al momento della chiamata, risultando del tutto impredicibile.
415 Eseguendo più volte il programma di prova e producendo un numero diverso di
416 figli, si sono ottenute situazioni completamente diverse, compreso il caso in
417 cui il processo padre ha eseguito più di una \func{fork} prima che uno dei
418 figli venisse messo in esecuzione.
420 Pertanto non si può fare nessuna assunzione sulla sequenza di esecuzione delle
421 istruzioni del codice fra padre e figli, nè sull'ordine in cui questi potranno
422 essere messi in esecuzione, e se è necessaria una qualche forma di precedenza
423 occorrerà provvedere ad espliciti meccanismi di sincronizzazione, pena il
424 rischio di incorrere nelle cosiddette \textit{race conditions}.
426 Si noti inoltre che, come accennato, essendo i segmenti di memoria utilizzati
427 dai singoli processi completamente separati, le modifiche delle variabili nei
428 processi figli (come l'incremento di \var{i} in \texttt{\small 33}) sono
429 visibili solo al loro interno, e non hanno alcun effetto sul valore che le
430 stesse variabili hanno nel processo padre (ed in eventuali altri processi
431 figli che eseguano lo stesso codice).
433 Un secondo aspetto molto importante nella creazione dei processi figli è
434 quello dell'interazione dei vari processi con i file; per illustrarlo meglio
435 proviamo a redirigere su un file l'output del nostro programma di test, quello
440 [piccardi@selidor sources]$ ./forktest 3 > output
441 [piccardi@selidor sources]$ cat output
442 Process 1967: forking 3 child
443 Child 1 successfully executing
444 Child 1, parent 1967, exiting
445 Test for forking 3 child
446 Spawned 1 child, pid 1968
448 Child 2 successfully executing
449 Child 2, parent 1967, exiting
450 Test for forking 3 child
451 Spawned 1 child, pid 1968
453 Spawned 2 child, pid 1969
455 Child 3 successfully executing
456 Child 3, parent 1967, exiting
457 Test for forking 3 child
458 Spawned 1 child, pid 1968
460 Spawned 2 child, pid 1969
462 Spawned 3 child, pid 1970
466 che come si vede è completamente diverso da quanto ottenevamo sul terminale.
468 Il comportamento delle varie funzioni di interfaccia con i file è analizzato
469 in gran dettaglio in \capref{cha:file_unix_interface} e in
470 \secref{cha:files_std_interface}. Qui basta accennare che si sono usate le
471 funzioni standard della libreria del C che prevedono l'output bufferizzato; e
472 questa bufferizzazione varia a seconda che si tratti di un file su disco (in
473 cui il buffer viene scaricato su disco solo quando necessario) o di un
474 terminale (nel qual caso il buffer viene scaricato ad ogni a capo).
476 Nel primo esempio allora avevamo che ad ogni chiamata a \func{printf} il
477 buffer veniva scaricato, e le singole righe erano stampate a video subito dopo
478 l'esecuzione della \func{printf}. Ma con la redirezione su file la scrittura
479 non avviene più alla fine di ogni riga e l'output resta nel buffer, per questo
480 motivo, dato che ogni figlio riceve una copia della memoria del padre, esso
481 riceverà anche quanto c'è nel buffer delle funzioni di I/O, comprese le linee
482 scritte dal padre fino allora. Così quando all'uscita del figlio il buffer
483 viene scritto su disco, troveremo nel file anche tutto quello che il processo
484 padre aveva scritto prima della sua creazione. E alla fine del file, dato che
485 in questo caso il padre esce per ultimo, troviamo anche l'output del padre.
487 Ma l'esempio ci mostra un'altro aspetto fondamentale dell'interazione con i
488 file, che era valido anche per l'esempio precedente, ma meno evidente; il
489 fatto cioè che non solo processi diversi possono scrivere in contemporanea
490 sullo stesso file (l'argomento della condivisione dei file in unix è trattato
491 in dettaglio in \secref{sec:file_sharing}), ma anche che, a differenza di
492 quanto avviene per le variabili, la posizione corrente sul file è condivisa
493 fra il padre e tutti i processi figli.
495 Quello che succede è che quando lo standard output del padre viene rediretto,
496 lo stesso avviene anche per tutti i figli; la funzione \func{fork} infatti ha
497 la caratteristica di duplicare (allo stesso modo in cui lo fa la funzione
498 \func{dup}, trattata in \secref{sec:file_dup}) nei figli tutti i file
499 descriptor aperti nel padre, il che comporta che padre e figli condividono
500 le stesse voci della file table (per la spiegazione di questi termini si veda
501 \secref{sec:file_sharing} e referenza a figura da fare) e quindi anche
502 l'offset corrente nel file.
504 In questo modo se un processo scrive sul file aggiornerà l'offset sulla file
505 table, e tutti gli altri processi che condividono la file table vedranno il
506 nuovo valore; in questo modo si evita, in casi come quello appena mostrato in
507 cui diversi processi scrivono sullo stesso file, che l'output successivo di un
508 processo vada a sovrapporsi a quello dei precedenti (l'output potrà risultare
509 mescolato, ma non ci saranno parti perdute per via di una sovrascrittura).
511 Questo tipo di comportamento è essenziale in tutti quei casi in cui il padre
512 crea un figlio ed attende la sua conclusione per proseguire, ed entrambi
513 scrivono sullo stesso file, ad esempio lo standard output (un caso tipico è la
514 shell). Se l'output viene rediretto con questo comportamento avremo che il
515 padre potrà continuare a scrivere automaticamente in coda a quanto scritto dal
516 figlio; se così non fosse ottenere questo comportamento sarebbe estremamente
517 complesso necessitando di una qualche forma di comunicazione fra i due
520 In generale comunque non è buona norma far scrivere più processi sullo stesso
521 file senza una qualche forma di sincronizzazione in quanto, come visto con il
522 nostro esempio, le varie scritture risulteranno mescolate fra loro in una
523 sequenza impredicibile. Le modalità con cui in genere si usano i file dopo una
524 \func{fork} sono sostanzialmente due:
526 \item Il processo padre aspetta la conclusione del figlio. In questo caso non
527 è necessaria nessuna azione riguardo ai file, in quanto la sincronizzazione
528 degli offset dopo eventuali operazioni di lettura e scrittura effettuate dal
530 \item L'esecuzione di padre e figlio procede indipendentemente. In questo caso
531 ciascuno dei due deve chiudere i file che non gli servono una volta che la
532 \func{fork} è stata eseguita, per evitare ogni forma di interferenza.
535 Oltre ai file aperti i processi figli ereditano dal padre una serie di altre
536 proprietà comuni; in dettaglio avremo che dopo l'esecuzione di una \func{fork}
537 padre e figlio avranno in comune:
539 \item i file aperti (e gli eventuali flag di \textit{close-on-exec} se
541 \item gli identificatori per il controllo di accesso: il \textit{real user
542 id}, il \textit{real group id}, l'\textit{effective user id},
543 l'\textit{effective group id} e i \textit{supplementary group id} (vedi
544 \secref{sec:proc_user_group}).
545 \item gli identificatori per il controllo di sessione: il \textit{process
546 group id} e il \textit{session id} e il terminale di controllo (vedi
547 \secref{sec:sess_xxx} e \secref{sec:sess_xxx}).
548 \item i flag di \acr{suid} e \acr{sgid} (vedi \secref{sec:file_suid_sgid}).
549 \item la directory di lavoro e la directory radice (vedi
550 \secref{sec:file_work_dir}).
551 \item la maschera dei permessi di creazione (vedi \secref{sec:file_umask}).
552 \item la maschera dei segnali.
553 \item i segmenti di memoria condivisa agganciati al processo.
554 \item i limiti sulle risorse
555 \item le variabili di ambiente (vedi \secref{sec:proc_environ}).
557 le differenze invece sono:
559 \item il valore di ritorno di \func{fork}.
560 \item il \textit{process id}.
561 \item il \textit{parent process id} (quello del figlio viene settato al
562 \acr{pid} del padre).
563 \item i valori dei tempi di esecuzione (\var{tms\_utime}, \var{tms\_stime},
564 \var{tms\_cutime}, \var{tms\_uetime}) che nel figlio sono posti a zero.
565 \item i \textit{file lock}, che non vengono ereditati dal figlio.
566 \item gli allarmi pendenti, che per il figlio vengono cancellati.
570 \subsection{La funzione \func{vfork}}
571 \label{sec:proc_vfork}
573 La funzione \func{vfork} è esattamente identica a \func{fork} ed ha la stessa
574 semantica e gli stessi errori; la sola differenza è che non viene creata la
575 tabella delle pagine né la struttura dei task per il nuovo processo. Il
576 processo padre è posto in attesa fintanto che il figlio non ha eseguito una
577 \func{execve} o non è uscito con una \func{\_exit}. Il figlio condivide la
578 memoria del padre (e modifiche possono avere effetti imprevedibili) e non deve
579 ritornare o uscire con \func{exit} ma usare esplicitamente \func{\_exit}.
581 Questa funzione è un rimasuglio dei vecchi tempi in cui eseguire una
582 \func{fork} comportava anche la copia completa del segmento dati del processo
583 padre, che costituiva un inutile appesantimento in tutti quei casi in cui la
584 \func{fork} veniva fatto solo per poi eseguire una \func{exec}. La funzione
585 venne introdotta in BSD per migliorare le prestazioni.
587 Dato che Linux supporta il \textit{copy on write} la perdita di prestazioni è
588 assolutamente trascurabile, e l'uso di questa funzione (che resta un caso
589 speciale della funzione \func{clone}), è deprecato, per questo eviteremo di
590 trattarla ulteriormente.
593 \subsection{La conclusione di un processo.}
594 \label{sec:proc_termination}
596 In \secref{sec:proc_conclusion} abbiamo già affrontato le modalità con cui
597 concludere un programma, ma dal punto di vista del programma stesso; avendo a
598 che fare con un sistema multitasking occorre adesso affrontare l'argomento dal
599 punto di vista generale di come il sistema gestisce la conclusione dei
602 Abbiamo già visto in \secref{sec:proc_conclusion} le tre modalità con cui un
603 programma viene terminato in maniera normale: la chiamata di \func{exit} (che
604 esegue le funzioni registrate per l'uscita e chiude gli stream), il ritorno
605 dalla funzione \func{main} (equivalente alla chiamata di \func{exit}), e la
606 chiamata ad \func{\_exit} (che passa direttamente alle operazioni di
607 terminazione del processo da parte del kernel).
609 Ma oltre alla conclusione normale abbiamo accennato che esistono anche delle
610 modalità di conclusione anomala; queste sono in sostanza due: il programma può
611 chiamare la funzione \func{abort} per invocare una chiusura anomala, o essere
612 terminato da un segnale. In realtà anche la prima modalità si riconduce alla
613 seconda, dato che \func{abort} si limita a generare il segnale
616 Qualunque sia la modalità di conclusione di un processo, il kernel esegue
617 comunque una serie di operazioni: chiude tutti i file aperti, rilascia la
618 memoria che stava usando, e così via; l'elenco completo delle operazioni
619 eseguite alla chiusura di un processo è il seguente:
621 \item tutti i descrittori dei file sono chiusi.
622 \item viene memorizzato lo stato di terminazione del processo.
623 \item ad ogni processo figlio viene assegnato un nuovo padre.
624 \item viene inviato il segnale \macro{SIGCHLD} al processo padre.
625 \item se il processo è un leader di sessione viene mandato un segnale di
626 \macro{SIGHUP} a tutti i processi in background e il terminale di controllo
628 \item se la conclusione di un processo rende orfano un \textit{process group}
629 ciascun membro del gruppo viene bloccato, e poi gli vengono inviati in
630 successione i segnali \macro{SIGHUP} e \macro{SIGCONT}.
632 ma al di la di queste operazioni è necessario poter disporre di un meccanismo
633 ulteriore che consenta di sapere come questa terminazione è avvenuta; dato che
634 in un sistema unix-like tutto viene gestito attraverso i processi il
635 meccanismo scelto consiste nel riportare lo stato di terminazione
636 (\textit{termination status}) di cui sopra al processo padre.
638 Nel caso di conclusione normale, lo stato di uscita del processo viene
639 caratterizzato tramite il valore del cosiddetto \textit{exit status}, cioè il
640 valore passato alle funzioni \func{exit} o \func{\_exit} (o dal valore di
641 ritorno per \func{main}). Ma se il processo viene concluso in maniera anomala
642 il programma non può specificare nessun \textit{exit status}, ed è il kernel
643 che deve generare autonomamente il \textit{termination status} per indicare le
644 ragioni della conclusione anomala.
646 Si noti la distinzione fra \textit{exit status} e \textit{termination status}:
647 quello che contraddistingue lo stato di chiusura del processo e viene
648 riportato attraverso le funzioni \func{wait} o \func{waitpid} (vedi
649 \secref{sec:proc_wait}) è sempre quest'ultimo; in caso di conclusione normale
650 il kernel usa il primo (nel codice eseguito da \func{\_exit}) per produrre il
653 La scelta di riportare al padre lo stato di terminazione dei figli, pur
654 essendo l'unica possibile, comporta comunque alcune complicazioni: infatti se
655 alla sua creazione è scontato che ogni nuovo processo ha un padre, non è detto
656 che sia così alla sua conclusione, dato che il padre potrebbe essere già
657 terminato (si potrebbe avere cioè quello che si chiama un processo
660 Questa complicazione viene superata facendo in modo che il processo figlio
661 venga \textsl{adottato} da \cmd{init}: come già accennato quando un processo
662 termina il kernel controlla se è il padre di altri processi in esecuzione: in
663 caso positivo allora il \acr{ppid} di tutti questi processi viene sostituito
664 con il \acr{pid} di \cmd{init} (e cioè con 1); in questo modo ogni processo
665 avrà sempre un padre (nel caso \textsl{adottivo}) cui riportare il suo stato
666 di terminazione. Come verifica di questo comportamento possiamo eseguire il
667 comando \cmd{forktest} imponendo a ciascun processo figlio due
668 secondi di attesa prima di uscire, il risultato è:
672 [piccardi@selidor sources]$ ./forktest -c2 3
673 Process 1972: forking 3 child
674 Spawned 1 child, pid 1973
675 Child 1 successfully executing
677 Spawned 2 child, pid 1974
678 Child 2 successfully executing
680 Child 3 successfully executing
681 Spawned 3 child, pid 1975
683 [piccardi@selidor sources]$ Child 3, parent 1, exiting
684 Child 2, parent 1, exiting
685 Child 1, parent 1, exiting
688 come si può notare in questo caso il processo padre si conclude prima dei
689 figli, tornando alla shell, che stampa il prompt sul terminale: circa due
690 secondi dopo viene stampato a video anche l'output dei tre figli che
691 terminano, e come si può notare in questo caso, al contrario di quanto visto
692 in precedenza, essi riportano 1 come \acr{ppid}.
694 Altrettanto rilevante è il caso in cui il figlio termina prima del padre,
695 perché non è detto che il padre possa ricevere immediatamente lo stato di
696 terminazione, quindi il kernel deve comunque conservare una certa quantità di
697 informazioni riguardo ai processi che sta terminando.
699 Questo viene fatto mantenendo attiva la voce nella tabella dei processi, e
700 memorizzando alcuni dati essenziali, come il \acr{pid}, i tempi di CPU usati
701 dal processo (vedi \secref{sec:intro_unix_time}) e lo stato di terminazione
702 \footnote{NdA verificare esattamente cosa c'è!}, mentre la memoria in uso ed i
703 file aperti vengono rilasciati immediatamente. I processi che sono terminati,
704 ma il cui stato di terminazione non è stato ancora ricevuto dal padre sono
705 chiamati \textit{zombie}, essi restano presenti nella tabella dei processi ed
706 in genere possono essere identificati dall'output di \cmd{ps} per la presenza
707 di una \cmd{Z} nella colonna che ne indica lo stato. Quando il padre
708 effettuerà la lettura dello stato di uscita anche questa informazione, non più
709 necessaria, verrà scartata e la terminazione potrà dirsi completamente
712 Possiamo utilizzare il nostro programma di prova per analizzare anche questa
713 condizione: lanciamo il comando \cmd{forktest} in background, indicando al
714 processo padre di aspettare 10 secondi prima di uscire; in questo caso, usando
715 \cmd{ps} sullo stesso terminale (prima dello scadere dei 10 secondi)
720 [piccardi@selidor sources]$ ps T
721 PID TTY STAT TIME COMMAND
722 419 pts/0 S 0:00 bash
723 568 pts/0 S 0:00 ./forktest -e10 3
724 569 pts/0 Z 0:00 [forktest <defunct>]
725 570 pts/0 Z 0:00 [forktest <defunct>]
726 571 pts/0 Z 0:00 [forktest <defunct>]
727 572 pts/0 R 0:00 ps T
730 e come si vede, dato che non si è fatto nulla per riceverne lo stato di
731 terminazione, i tre processi figli sono ancora presenti pur essendosi
732 conclusi, con lo stato di zombie e l'indicazione che sono stati terminati.
734 La possibilità di avere degli zombie deve essere tenuta sempre presente quando
735 si scrive un programma che deve essere mantenuto in esecuzione a lungo e
736 creare molti figli. In questo caso si deve sempre avere cura di far leggere
737 l'eventuale stato di uscita di tutti i figli (in genere questo si fa
738 attraverso un apposito \textit{signal handler}, che chiama la funzione
739 \func{wait}, vedi \secref{sec:sig_xxx} e \secref{sec:proc_wait}). Questa
740 operazione è necessaria perché anche se gli \textit{zombie} non consumano
741 risorse di memoria o processore, occupano comunque una voce nella tabella dei
742 processi, che a lungo andare potrebbe esaurirsi.
744 Si noti che quando un processo adottato da \cmd{init} termina, esso non
745 diviene uno \textit{zombie}; questo perché una delle funzioni di \cmd{init} è
746 appunto quella di chiamare la funzione \func{wait} per i processi cui fa da
747 padre, completandone la terminazione. Questo è quanto avviene anche quando,
748 come nel caso del precedente esempio con \cmd{forktest}, il padre termina con
749 dei figli in stato di zombie: alla sua terminazione infatti tutti i suoi figli
750 vengono ereditati (compresi gli zombie) verranno adottati da \cmd{init}, il
751 quale provvederà a completarne la terminazione.
753 Si tenga presente infine che siccome gli zombie sono processi già usciti, non
754 c'è modo di eliminarli con il comando \cmd{kill}; l'unica possibilità è quella
755 di terminare il processo che li ha generati, in modo che \cmd{init} possa
756 adottarli e provvedere a concludere la terminazione.
759 \subsection{Le funzioni \texttt{wait} e \texttt{waitpid}}
760 \label{sec:proc_wait}
762 Abbiamo già accennato come uno degli usi possibili delle capacità multitasking
763 di un sistema unix-like consista nella creazione di programmi di tipo server,
764 in cui un processo principale attende le richieste che vengono poi soddisfatte
765 creando una serie di processi figli. Si è già sottolineato al paragrafo
766 precedente come in questo caso diventi necessario gestire esplicitamente la
767 conclusione dei vari processi figli onde evitare di riempire di
768 \textit{zombie} la tabella dei processi; le funzioni deputate a questo compito
769 sono sostanzialmente due, \func{wait} e \func{waitpid}. La prima, il cui
773 \headdecl{sys/types.h}
774 \headdecl{sys/wait.h}
775 \funcdecl{pid\_t wait(int * status)}
777 Sospende il processo corrente finché un figlio non è uscito, o finché un
778 segnale termina il processo o chiama una funzione di gestione. Se un figlio è
779 già uscito la funzione ritorna immediatamente. Al ritorno lo stato di
780 termininazione del processo viene salvato nella variabile puntata da
781 \var{status} e tutte le informazioni relative al processo (vedi
782 \secref{sec:proc_termination}) vengono rilasciate.
784 La funzione restituisce il \acr{pid} del figlio in caso di successo e -1 in
785 caso di errore; \var{errno} può assumere i valori:
787 \item \macro{EINTR} la funzione è stata interrotta da un segnale.
790 è presente fin dalle prime versioni di unix; la funzione ritorna alla
791 conclusione del primo figlio (o immediatamente se un figlio è già uscito). Nel
792 caso un processo abbia più figli il valore di ritorno permette di identificare
793 qual'è quello che è uscito.
795 Questa funzione però ha il difetto di essere poco flessibile, in quanto
796 ritorna all'uscita di un figlio qualunque. Nelle occasioni in cui è necessario
797 attendere la conclusione di un processo specifico occorre predisporre un
798 meccanismo che tenga conto dei processi già terminati, e ripeta la chiamata
799 alla funzione nel caso il processo cercato sia ancora attivo.
801 Per questo motivo lo standard POSIX.1 ha introdotto la funzione \func{waitpid}
802 che effettua lo stesso servizio, ma dispone di una serie di funzionalità più
803 ampie, legate anche al controllo di sessione. Dato che è possibile ottenere
804 lo stesso comportamento di \func{wait} si consiglia di utilizzare sempre
805 questa funzione; il suo prototipo è:
808 \headdecl{sys/types.h}
809 \headdecl{sys/wait.h}
810 \funcdecl{pid\_t waitpid(pid\_t pid, int * status, int options)}
812 La funzione restituisce il \acr{pid} del processo che è uscito, 0 se è stata
813 specificata l'opzione \macro{WNOHANG} e il processo non è uscito e -1 per un
814 errore, nel qual caso \var{errno} assumerà i valori:
816 \item \macro{EINTR} se non è stata specificata l'opzione \macro{WNOHANG} e
817 la funzione è stata interrotta da un segnale.
818 \item \macro{ECHILD} il processo specificato da \var{pid} non esiste o non è
819 figlio del processo chiamante.
823 Le differenze principali fra le due funzioni sono che \func{wait} si blocca
824 sempre fino a che un processo figlio non termina, mentre \func{waitpid} ha la
825 possibilità si specificare un'opzione \macro{WNOHANG} che ne previene il
826 blocco; inoltre \func{waitpid} può specificare quale processo attendere sulla
827 base del valore specificato tramite la variabile \var{pid}, secondo lo
828 specchietto riportato in \ntab:
832 \begin{tabular}[c]{|c|p{10cm}|}
834 \textbf{Valore} & \textbf{Significato}\\
837 $<-1$& attende per un figlio il cui \textit{process group} è uguale al
838 valore assoluto di \var{pid}. \\
839 $-1$ & attende per un figlio qualsiasi, usata in questa maniera è
840 equivalente a \func{wait}.\\
841 $0$ & attende per un figlio il cui \textit{process group} è uguale a
842 quello del processo chiamante. \\
843 $>0$ & attende per un figlio il cui \acr{pid} è uguale al
844 valore di \var{pid}.\\
847 \caption{Significato dei valori del parametro \var{pid} della funzione
849 \label{tab:proc_waidpid_pid}
852 Il comportamento di \func{waitpid} può essere modificato passando delle
853 opportune opzioni tramite la variabile \var{option}. I valori possibili sono
854 il già citato \macro{WNOHANG}, che previene il blocco della funzione quando il
855 processo figlio non è terminato, e \macro{WUNTRACED} (usata per il controllo
856 di sessione, trattato in \capref{cha:session}) che fa ritornare la funzione
857 anche per i processi figli che sono bloccati ed il cui stato non è stato
858 ancora riportato al padre. Il valore dell'opzione deve essere specificato come
859 maschera binaria ottenuta con l'OR delle suddette costanti con zero.
861 La terminazione di un processo figlio è chiaramente un evento asincrono
862 rispetto all'esecuzione di un programma e può avvenire in un qualunque
863 momento, per questo motivo, come si è visto nella sezione precedente, una
864 delle azioni prese dal kernel alla conclusione di un processo è quella di
865 mandare un segnale di \macro{SIGCHLD} al padre. Questo segnale viene ignorato
866 di default, ma costituisce il meccanismo di comunicazione asincrona con cui il
867 kernel avverte un processo padre che uno dei suoi figli è terminato.
869 In genere in un programma non si vuole essere forzati ad attendere la
870 conclusione di un processo per proseguire, specie se tutto questo serve solo
871 per leggerne lo stato di chiusura (ed evitare la presenza di \textit{zombie}),
872 per questo la modalità più usata per chiamare queste funzioni è quella di
873 utilizzarle all'interno di un \textit{signal handler} (torneremo sui segnali e
874 su come gestire \macro{SIGCHLD} in \secref{sec:sig_sigwait_xxx}) nel qual
875 caso, dato che il segnale è generato dalla terminazione un figlio, avremo la
876 certezza che la chiamata a \func{wait} non si bloccherà.
881 \begin{tabular}[c]{|c|p{10cm}|}
883 \textbf{Macro} & \textbf{Descrizione}\\
886 \macro{WIFEXITED(s)} & Condizione vera (valore non nullo) per un processo
887 figlio che sia terminato normalmente. \\
888 \macro{WEXITSTATUS(s)} & Restituisce gli otto bit meno significativi dello
889 stato di uscita del processo (passato attraverso \func{\_exit}, \func{exit}
890 o come valore di ritorno di \func{main}). Può essere valutata solo se
891 \macro{WIFEXITED} ha restituito un valore non nullo.\\
892 \macro{WIFSIGNALED(s)} & Vera se il processo figlio è terminato
893 in maniera anomala a causa di un segnale che non è stato catturato (vedi
894 \secref{sec:sig_notification}).\\
895 \macro{WTERMSIG(s)} & restituisce il numero del segnale che ha causato
896 la terminazione anomala del processo. Può essere valutata solo se
897 \macro{WIFSIGNALED} ha restituito un valore non nullo.\\
898 \macro{WCOREDUMP(s)} & Vera se il processo terminato ha generato un
899 file si \textit{core dump}. Può essere valutata solo se
900 \macro{WIFSIGNALED} ha restituito un valore non nullo\footnote{questa
901 macro non è definita dallo standard POSIX.1, ma è presente come estensione
902 sia in Linux che in altri unix}.\\
903 \macro{WIFSTOPPED(s)} & Vera se il processo che ha causato il ritorno di
904 \func{waitpid} è bloccato. L'uso è possibile solo avendo specificato
905 l'opzione \macro{WUNTRACED}. \\
906 \macro{WSTOPSIG(s)} & restituisce il numero del segnale che ha bloccato
907 il processo, Può essere valutata solo se \macro{WIFSTOPPED} ha
908 restituito un valore non nullo. \\
911 \caption{Descrizione delle varie macro di preprocessore utilizzabili per
912 verificare lo stato di terminazione \var{s} di un processo.}
913 \label{tab:proc_status_macro}
917 Entrambe le funzioni restituiscono lo stato di terminazione del processo
918 tramite il puntatore \var{status} (se non interessa memorizzare lo stato si
919 può passare un puntatore nullo). Il valore restituito da entrambe le funzioni
920 dipende dall'implementazione, e tradizionalmente alcuni bit sono riservati per
921 memorizzare lo stato di uscita (in genere 8) altri per indicare il segnale che
922 ha causato la terminazione (in caso di conclusione anomala), uno per indicare
923 se è stato generato un core file, etc.\footnote{le definizioni esatte si
924 possono trovare in \file{<bits/waitstatus.h} ma questo file non deve mai
925 essere usato direttamente, esso viene incluso attraverso
926 \file{<sys/wait.h>}}. Lo standard POSIX.1 definisce una serie di macro di
927 preprocessore da usare per analizzare lo stato di uscita; esse sono definite
928 sempre in \file{<sys/wait.h>} ed elencate in \curtab\ (si tenga presente che
929 queste macro prendono come parametro la variabile di tipo \type{int} puntata
932 Si tenga conto che nel caso di conclusione anomala il valore restituito da
933 \macro{WTERMSIG} può essere controllato contro le costanti definite in
934 \file{signal.h}, e stampato usando le funzioni definite in
935 \secref{sec:sig_strsignal}.
938 \subsection{Le funzioni \func{wait3} e \func{wait4}}
939 \label{sec:proc_wait4}
941 Linux, seguendo una estensione di BSD, supporta altre due funzioni per la
942 lettura dello stato di terminazione di un processo, analoghe a \func{wait} e
943 \func{waitpid}, ma che prevedono un ulteriore parametro attraverso il quale il
944 kernel può restituire al processo padre ulteriori informazioni sulle risorse
945 usate dal processo terminato e dai vari figli. Queste funzioni, che diventano
946 accessibili definendo la costante \macro{\_USE\_BSD}, sono:
949 \headdecl{sys/times.h}
950 \headdecl{sys/types.h}
951 \headdecl{sys/wait.h}
952 \headdecl{sys/resource.h}
953 \funcdecl{pid\_t wait4(pid\_t pid, int * status, int options, struct rusage
955 La funzione è identica a \func{waitpid} sia per comportamento che per i
956 valori dei parametri, ma restituisce in \var{rusage} un sommario delle
957 risorse usate dal processo (per i dettagli vedi \secref{sec:xxx_limit_res})
958 \funcdecl{pid\_t wait3(int *status, int options, struct rusage *rusage)}
959 Prima versione, equivalente a \func{wait4(-1, \&status, opt, rusage)} è
960 ormai deprecata in favore di \func{wait4}.
962 la struttura \type{rusage} è definita in \file{sys/resource.h}, e viene
963 utilizzata anche dalla funzione \func{getrusage} per ottenere le risorse di
964 sistema usate dal processo; in Linux è definita come:
968 \begin{minipage}[c]{15cm}
969 \begin{lstlisting}[labelstep=0,frame=,indent=1cm]{}
971 struct timeval ru_utime; /* user time used */
972 struct timeval ru_stime; /* system time used */
973 long ru_maxrss; /* maximum resident set size */
974 long ru_ixrss; /* integral shared memory size */
975 long ru_idrss; /* integral unshared data size */
976 long ru_isrss; /* integral unshared stack size */
977 long ru_minflt; /* page reclaims */
978 long ru_majflt; /* page faults */
979 long ru_nswap; /* swaps */
980 long ru_inblock; /* block input operations */
981 long ru_oublock; /* block output operations */
982 long ru_msgsnd; /* messages sent */
983 long ru_msgrcv; /* messages received */
984 long ru_nsignals; ; /* signals received */
985 long ru_nvcsw; /* voluntary context switches */
986 long ru_nivcsw; /* involuntary context switches */
991 \caption{La struttura \texttt{rusage} per la lettura delle informazioni dei
992 delle risorse usate da un processo.}
993 \label{fig:proc_rusage_struct}
995 In genere includere esplicitamente \file{<sys/time.h>} non è più necessario,
996 ma aumenta la portabilità, e serve in caso si debba accedere ai campi di
997 \var{rusage} definiti come \type{struct timeval}. La struttura è ripresa dalla
998 versione 4.3 Reno di BSD, attualmente (con il kernel 2.4.x) i soli campi che
999 sono mantenuti sono: \var{ru\_utime}, \var{ru\_stime}, \var{ru\_minflt},
1000 \var{ru\_majflt}, e \var{ru\_nswap}.
1003 \subsection{Le funzioni \texttt{exec}}
1004 \label{sec:proc_exec}
1006 Abbiamo già detto che una delle modalità principali con cui si utilizzano i
1007 processi in unix è quella di usarli per lanciare nuovi programmi: questo viene
1008 fatto attraverso una delle funzioni della famiglia \func{exec}. Quando un
1009 processo chiama una di queste funzioni esso viene completamente sostituito dal
1010 nuovo programma; il \acr{pid} del processo non cambia, dato che non viene
1011 creato un nuovo processo, la funzione semplicemente rimpiazza lo stack, o
1012 heap, i dati ed il testo del processo corrente con un nuovo programma letto da
1015 Ci sono sei diverse versioni di \func{exec} (per questo la si è chiamata
1016 famiglia di funzioni) che possono essere usate per questo compito, che in
1017 realtà (come mostrato in \figref{fig:proc_exec_relat}), costituiscono un
1018 front-end a \func{execve}. Il prototipo di quest'ultima è:
1020 \begin{prototype}{unistd.h}
1021 {int execve(const char * filename, char * const argv [], char * const envp[])}
1023 La funzione esegue il file o lo script indicato da \var{filename},
1024 passandogli la lista di argomenti indicata da \var{argv} e come ambiente la
1025 lista di stringhe indicata da \var{envp}; entrambe le liste devono essere
1026 terminate da un puntatore nullo. I vettori degli argomenti e dell'ambiente
1027 possono essere acceduti dal nuovo programma quando la sua funzione
1028 \func{main} è dichiarata nella forma \func{main(int argc, char *argv[], char
1031 La funzione ritorna -1 solo in caso di errore, nel qual caso caso la
1032 \var{errno} può assumere i valori:
1034 \item \macro{EACCES} il file non è eseguibile, oppure il filesystem è
1035 montato in \cmd{noexec}, oppure non è un file normale o un interprete.
1036 \item \macro{EPERM} il file ha i bit \acr{suid} o \acr{sgid} ma l'utente non
1037 è root o il filesystem è montato con \cmd{nosuid}, oppure
1038 \item \macro{ENOEXEC} il file è in un formato non eseguibile o non
1039 riconosciuto come tale, o compilato per un'altra architettura.
1040 \item \macro{ENOENT} il file o una delle librerie dinamiche o l'interprete
1041 necessari per eseguirlo non esistono.
1042 \item \macro{ETXTBSY} L'eseguibile è aperto in scrittura da uno o più
1044 \item \macro{EINVAL} L'eseguibile ELF ha più di un segmento
1045 \macro{PF\_INTERP}, cioè chiede di essere eseguito da più di un interprete.
1046 \item \macro{ELIBBAD} Un interprete ELF non è in un formato riconoscibile.
1048 ed inoltre anche \macro{EFAULT}, \macro{ENOMEM}, \macro{EIO},
1049 \macro{ENAMETOOLONG}, \macro{E2BIG}, \macro{ELOOP}, \macro{ENOTDIR},
1050 \macro{ENFILE}, \macro{EMFILE}.
1053 Le altre funzioni della famiglia servono per fornire all'utente una serie
1054 possibile di diverse interfacce per la creazione di un nuovo processo. I loro
1059 \funcdecl{int execl(const char *path, const char *arg, ...)}
1060 \funcdecl{int execv(const char *path, char *const argv[])}
1061 \funcdecl{int execle(const char *path, const char *arg, ..., char
1063 \funcdecl{int execlp(const char *file, const char *arg, ...)}
1064 \funcdecl{int execvp(const char *file, char *const argv[])}
1066 Sostituiscono l'immagine corrente del processo con quella indicata nel primo
1067 argomento. I parametri successivi consentono di specificare gli argomenti a
1068 linea di comando e l'ambiente ricevuti dal nuovo processo.
1070 Queste funzioni ritornano solo in caso di errore, restituendo -1; nel qual
1071 caso \var{errno} andrà ad assumere i valori visti in precedenza per
1075 Per capire meglio le differenze fra le funzioni della famiglia si può fare
1076 riferimento allo specchietto riportato in \ntab. La prima differenza riguarda
1077 le modalità di passaggio dei parametri che poi andranno a costituire gli
1078 argomenti a linea di comando (cioè i valori di \var{argv} e \var{argc} visti
1079 dalla funzione \func{main} del programma chiamato).
1081 Queste modalità sono due e sono riassunte dagli mnenonici \func{v} e \func{l}
1082 che stanno rispettivamente per \textit{vector} e \textit{list}. Nel primo caso
1083 gli argomenti sono passati tramite il vettore di puntatori \var{argv[]} a
1084 stringhe terminate con zero che costituiranno gli argomenti a riga di comando,
1085 questo vettore \emph{deve} essere terminato da un puntatore nullo.
1087 Nel secondo caso le stringhe degli argomenti sono passate alla funzione come
1088 lista di puntatori, nella forma:
1089 \begin{lstlisting}[labelstep=0,frame=,indent=1cm]{}
1090 char * arg0, char * arg1, ..., char * argn, NULL
1092 che deve essere terminata da un puntatore nullo. In entrambi i casi vale la
1093 convenzione che il primo argomento (\var{arg0} o \var{argv[0]}) viene usato
1094 per indicare il nome del file che contiene il programma che verrà eseguito.
1099 \begin{tabular}[c]{|l|c|c|c||c|c|c|}
1101 \multicolumn{1}{|c|}{\textbf{Caratteristiche}} &
1102 \multicolumn{6}{|c|}{\textbf{Funzioni}} \\
1104 &\func{execl\ }&\func{execlp}&\func{execle}
1105 &\func{execv\ }& \func{execvp}& \func{execve} \\
1108 argomenti a lista &$\bullet$&$\bullet$&$\bullet$&&& \\
1109 argomenti a vettore &&&&$\bullet$&$\bullet$&$\bullet$\\
1111 filename completo &&$\bullet$&&&$\bullet$& \\
1112 ricerca su \var{PATH}&$\bullet$&&$\bullet$&$\bullet$&&$\bullet$ \\
1114 ambiente a vettore &&&$\bullet$&&&$\bullet$ \\
1115 uso di \var{environ} &$\bullet$&$\bullet$&&$\bullet$&$\bullet$& \\
1118 \caption{Confronto delle caratteristiche delle varie funzioni della
1119 famiglia \func{exec}.}
1120 \label{tab:proc_exec_scheme}
1123 La seconda differenza fra le funzioni riguarda le modalità con cui si
1124 specifica il programma che si vuole eseguire. Con lo mnemonico \func{p} si
1125 indicano le due funzioni che replicano il comportamento della shell nello
1126 specificare il comando da eseguire; quando il parametro \var{file} non
1127 contiene una \file{/} esso viene considerato come un nome di programma, e
1128 viene eseguita automaticamente una ricerca fra i file presenti nella lista di
1129 directory specificate dalla variabile di ambiente \var{PATH}. Il file che
1130 viene posto in esecuzione è il primo che viene trovato. Se si ha un errore di
1131 permessi negati (cioè l'esecuzione della sottostante \func{execve} ritorna un
1132 \macro{EACCESS}), la ricerca viene proseguita nelle eventuali ulteriori
1133 directory indicate nel \var{PATH}, solo se non viene trovato nessun altro file
1134 viene finalmente restituito \macro{EACCESS}.
1136 Le altre quattro funzioni si limitano invece a cercare di eseguire il file
1137 indicato dal parametro \var{path}, che viene interpretato come il
1138 \textit{pathname} del programma.
1142 \includegraphics[width=13cm]{img/exec_rel.eps}
1143 \caption{La interrelazione fra le sei funzioni della famiglia \func{exec}}
1144 \label{fig:proc_exec_relat}
1147 La terza differenza è come viene passata la lista delle variabili di ambiente.
1148 Con lo mnemonico \func{e} vengono indicate quelle funzioni che necessitano di
1149 un vettore di parametri \var{envp[]} analogo a quello usato per gli argomenti
1150 a riga di comando (terminato quindi da un \macro{NULL}), le altre usano il
1151 valore della variabile \var{environ} (vedi \secref{sec:proc_environ}) del
1152 processo di partenza per costruire l'ambiente.
1154 Oltre a mantenere lo stesso \acr{pid}, il nuovo programma fatto partire da
1155 \func{exec} assume anche una serie di altre proprietà del processo chiamante;
1156 la lista completa è la seguente:
1158 \item il \textit{process ID} (\acr{pid}) ed il \textit{parent process ID}
1160 \item il \textit{real user ID} ed il \textit{real group ID} (vedi
1161 \secref{sec:proc_user_group}).
1162 \item i \textit{supplementary group ID} (vedi \secref{sec:proc_user_group}).
1163 \item il \textit{session ID} ed il \textit{process group ID} (vedi
1164 \secref{sec:sess_xxx}).
1165 \item il terminale di controllo (vedi \secref{sec:sess_xxx}).
1166 \item il tempo restante ad un allarme.
1167 \item la directory radice e la directory di lavoro corrente (vedi
1168 \secref{sec:file_work_dir}).
1169 \item la maschera di creazione dei file (\var{umask}, vedi
1170 \secref{sec:file_umask}) ed i \textit{lock} sui file (vedi
1171 \secref{sec:file_xxx}).
1172 \item i segnali sospesi (\textit{pending}) e la maschera dei segnali (si veda
1173 \secref{sec:sig_xxx}).
1174 \item i limiti sulle risorse (vedi \secref{sec:limits_xxx})..
1175 \item i valori delle variabili \var{tms\_utime}, \var{tms\_stime},
1176 \var{tms\_cutime}, \var{tms\_ustime} (vedi \secref{sec:xxx_xxx})..
1179 Oltre a questo i segnali che sono stati settati per essere ignorati nel
1180 processo chiamante mantengono lo stesso settaggio pure nuovo programma, tutti
1181 gli altri segnali vengono settati alla loro azione di default. Un caso
1182 speciale è il segnale \macro{SIGCHLD} che, quando settato a \macro{SIG\_IGN}
1183 può anche non essere resettato a \macro{SIG\_DFL} (si veda
1184 \secref{sec:sig_xxx}).
1186 La gestione dei file aperti dipende dal valore del flag di
1187 \textit{close-on-exec} per ciascun file descriptor (si veda
1188 \secref{sec:file_xxx}); i file per cui è settato vengono chiusi, tutti gli
1189 altri file restano aperti. Questo significa che il comportamento di default è
1190 che i file restano aperti attraverso una \func{exec}, a meno di una chiamata
1191 esplicita a \func{fcntl} che setti il suddetto flag.
1193 Per le directory lo standard POSIX.1 richiede che esse vengano chiuse
1194 attraverso una \func{exec}, in genere questo è fatto dalla funzione
1195 \func{opendir} che effettua da sola il settaggio del flag di
1196 \textit{close-on-exec} sulle directory che apre, in maniera trasparente
1199 Abbiamo detto che il \textit{real user ID} ed il \textit{real group ID}
1200 restano gli stessi all'esecuzione di \func{exec}; lo stesso vale per
1201 l'\textit{effective user ID} ed l'\textit{effective group ID}, tranne il caso
1202 in cui il file che si va ad eseguire ha o il \acr{suid} bit o lo \acr{sgid}
1203 bit settato, nel qual caso \textit{effective user ID} e \textit{effective
1204 group ID} vengono settati rispettivamente all'utente o al gruppo cui il file
1205 appartiene (per i dettagli vedi \secref{sec:proc_perms}).
1207 Se il file da eseguire è in formato \emph{a.out} e necessita di librerie
1208 condivise, viene lanciato il \textit{linker} dinamico \cmd{ld.so} prima del
1209 programma per caricare le librerie necessarie ed effettuare il link
1210 dell'eseguibile. Se il programma è in formato ELF per caricare le librerie
1211 dinamiche viene usato l'interprete indicato nel segmento \macro{PT\_INTERP},
1212 in genere questo è \file{/lib/ld-linux.so.1} per programmi linkati con le
1213 \emph{libc5}, e \file{/lib/ld-linux.so.2} per programmi linkati con le
1214 \emph{glibc}. Infine nel caso il file sia uno script esso deve iniziare con
1215 una linea nella forma \cmd{\#!/path/to/interpreter} dove l'interprete indicato
1216 deve esse un valido programma (binario, non un altro script) che verrà
1217 chiamato come se si fosse eseguito il comando \cmd{interpreter [arg]
1220 Con la famiglia delle \func{exec} si chiude il novero delle funzioni su cui è
1221 basata la gestione dei processi in unix: con \func{fork} si crea un nuovo
1222 processo, con \func{exec} si avvia un nuovo programma, con \func{exit} e
1223 \func{wait} si effettua e verifica la conclusione dei programmi. Tutte le
1224 altre funzioni sono ausiliarie e servono la lettura e il settaggio dei vari
1225 parametri connessi ai processi.
1229 \section{Il controllo di accesso}
1230 \label{sec:proc_perms}
1232 In questa sezione esamineremo le problematiche relative al controllo di
1233 accesso dal punto di vista del processi; vedremo quali sono gli identificatori
1234 usati, come questi possono essere modificati nella creazione e nel lancio di
1235 nuovi processi, e le varie funzioni per la loro manipolazione diretta e tutte
1236 le problematiche connesse alla gestione accorta dei privilegi.
1239 \subsection{Utente e gruppo di un processo}
1240 \label{sec:proc_user_group}
1242 Come accennato in \secref{sec:intro_multiuser} il modello base\footnote{in
1243 realtà già esistono estensioni di questo modello base, che lo rendono più
1244 flessibile e controllabile, come le \textit{capabilities}, le ACL per i file
1245 o il \textit{Mandatory Access Control} di SELinux} di sicurezza di un
1246 sistema unix-like è fondato sui concetti di utente e gruppo, e sulla
1247 separazione fra l'amministratore (\textsl{root}, detto spesso anche
1248 \textit{superuser}) che non è sottoposto a restrizioni, ed il resto degli
1249 utenti, per i quali invece vengono effettuati i vari controlli di accesso.
1251 %Benché il sistema sia piuttosto semplice (è basato su un solo livello di
1252 % separazione) il sistema permette una
1253 %notevole flessibilità,
1255 Abbiamo già accennato come il sistema associ ad ogni utente e gruppo due
1256 identificatori univoci, lo \acr{uid} e il \acr{gid}; questi servono al kernel
1257 per identificare uno specifico utente o un gruppo di utenti, per poi poter
1258 controllare che essi siano autorizzati a compiere le operazioni richieste. Ad
1259 esempio in \secref{sec:file_access_control} vedremo come ad ogni file vengano
1260 associati un utente ed un gruppo (i suoi \textsl{proprietari}, indicati
1261 appunto tramite un \acr{uid} ed un \acr{gid}) che vengono controllati dal
1262 kernel nella gestione dei permessi di accesso.
1264 Dato che tutte le operazioni del sistema vengono compiute dai processi, è
1265 evidente che per poter implementare un controllo sulle operazioni occorre
1266 anche poter identificare chi è che ha lanciato un certo processo, e pertanto
1267 anche a ciascuno di essi è associato un utente e a un gruppo.
1269 Un semplice controllo di una corrispondenza fra identificativi però non
1270 garantisce però sufficiente flessibilità per tutti quei casi in cui è
1271 necessario poter disporre di privilegi diversi, o dover impersonare un altro
1272 utente per un limitato insieme di operazioni. Per questo motivo in generale
1273 tutti gli unix prevedono che i processi abbiano almeno due gruppi di
1274 identificatori, chiamati rispettivamente \textit{real} ed \textit{effective}.
1280 \begin{tabular}[c]{|c|l|p{6.5cm}|}
1282 \textbf{Suffisso} & \textbf{Significato} & \textbf{Utilizzo} \\
1285 \acr{uid} & \textit{real user id} & indica l'utente che ha lanciato
1287 \acr{gid} & \textit{real group id} & indica il gruppo dell'utente
1288 che ha lanciato il programma \\
1289 \acr{euid} & \textit{effective user id} & indica l'utente usato
1290 dal programma nel controllo di accesso \\
1291 \acr{egid} & \textit{effective group id} & indica il gruppo
1292 usato dal programma nel controllo di accesso \\
1293 -- & \textit{supplementary group id} & indica i gruppi cui
1294 l'utente appartiene \\
1295 -- & \textit{saved user id} & copia dell'\acr{euid} iniziale\\
1296 -- & \textit{saved group id} & copia dell'\acr{egid} iniziale \\
1297 \acr{fsuid} & \textit{filesystem user id} & indica l'utente effettivo per
1299 \acr{fsgid} & \textit{filesystem group id} & indica il gruppo effettivo
1300 per il filesystem \\
1303 \caption{Identificatori di utente e gruppo associati a ciascun processo con
1304 indicazione dei suffissi usate dalle varie funzioni di manipolazione.}
1305 \label{tab:proc_uid_gid}
1308 Al primo gruppo appartengono il \textit{real user ID} e il \textit{real group
1309 ID}: questi vengono settati al login ai valori corrispondenti all'utente con
1310 cui si accede al sistema (e relativo gruppo di default). Servono per
1311 l'identificazione dell'utente e normalmente non vengono mai cambiati. In
1312 realtà vedremo (in \secref{sec:proc_setuid}) che è possibile modificarli, ma
1313 solo ad un processo che abbia i privilegi di amministratore; questa
1314 possibilità è usata ad esempio da \cmd{login} che una volta completata la
1315 procedura di autenticazione lancia una shell per la quale setta questi
1316 identificatori ai valori corrispondenti all'utente che entra nel sistema.
1318 Al secondo gruppo appartengono l'\textit{effective user ID} e
1319 l'\textit{effective group ID} (a cui si aggiungono gli eventuali
1320 \textit{supplementary group id} dei gruppi dei quale l'utente fa parte).
1321 Questi sono invece gli identificatori usati nella verifiche dei permessi del
1322 processo e per il controllo di accesso ai file (argomento affrontato in
1323 dettaglio in \secref{sec:file_perm_overview}).
1325 Questi identificatori normalmente sono identici ai corrispondenti del gruppo
1326 \textsl{reale} tranne nel caso in cui, come visto in \secref{sec:proc_exec},
1327 il programma che si è posto in esecuzione abbia i bit \acr{suid} o \acr{sgid}
1328 settati (il significato di questi bit è affrontato in dettaglio in
1329 \secref{sec:file_suid_sgid}). In questo caso essi saranno settati all'utente e
1330 al gruppo proprietari del file; questo consente, per programmi in cui ci sia
1331 necessità, di dare a qualunquee utente normale privilegi o permessi di
1332 un'altro (o dell'amministratore).
1334 Come nel caso del \acr{pid} e del \acr{ppid} tutti questi identificatori
1335 possono essere letti dal processo attraverso delle opportune funzioni, i cui
1336 prototipi sono i seguenti:
1340 \headdecl{sys/types.h}
1341 \funcdecl{uid\_t getuid(void)} restituisce il \textit{real user ID} del
1343 \funcdecl{uid\_t geteuid(void)} restituisce l'\textit{effective user ID} del
1345 \funcdecl{gid\_t getgid(void)} restituisce il \textit{real group ID} del
1347 \funcdecl{gid\_t getegid(void)} restituisce l'\textit{effective group ID} del
1350 Queste funzioni non riportano condizioni di errore.
1353 In generale l'uso di privilegi superiori deve essere limitato il più
1354 possibile, per evitare abusi e problemi di sicurezza, per questo occorre anche
1355 un meccanismo che consenta ad un programma di rilasciare gli eventuali
1356 maggiori privilegi necessari, una volta che si siano effettuate le operazioni
1357 per i quali erano richiesti, e a poterli eventualmente recuperare in caso
1360 Questo in Linux viene fatto usando altri due gruppi di identificatori, il
1361 \textit{saved} ed il \textit{filesystem}, analoghi ai precedenti. Il primo
1362 gruppo è lo stesso usato in SVr4, e previsto dallo standard POSIX quando è
1363 definita la costante \macro{\_POSIX\_SAVED\_IDS}, il secondo gruppo è
1364 specifico di Linux e viene usato per migliorare la sicurezza con NFS.
1366 Il \textit{saved user id} e il \textit{saved group id} sono copie
1367 dell'\textit{effective user id} e dell'\textit{effective group id} del
1368 processo padre, e vengono settati dalla funzione \func{exec} all'avvio del
1369 processo, come copie dell'\textit{effective user id} e dell'\textit{effective
1370 group id} dopo che questo sono stati settati tenendo conto di eventuali
1371 \acr{suid} o \acr{sgid}. Essi quindi consentono di tenere traccia di quale
1372 fossero utente e gruppo effettivi all'inizio dell'esecuzione di un nuovo
1375 Il \textit{filesystem user id} e il \textit{filesystem group id} sono una
1376 estensione introdotta in Linux per rendere più sicuro l'uso di NFS (torneremo
1377 sull'argomento in \secref{sec:proc_setfsuid}). Essi sono una replica dei
1378 corrispondenti \textit{effective id}, ai quali si sostituiscono per tutte le
1379 operazioni di verifica dei permessi relativi ai file (trattate in
1380 \secref{sec:file_perm_overview}). Ogni cambiamento effettuato sugli
1381 \textit{effective id} viene automaticamente riportato su di essi, per cui in
1382 condizioni normali se ne può tranquillamente ignorare l'esistenza, in quanto
1383 saranno del tutto equivalenti ai precedenti.
1385 Uno specchietto riassuntivo, contenente l'elenco completo degli identificatori
1386 di utente e gruppo associati dal kernel ad ogni processo, è riportato in
1387 \tabref{tab:proc_uid_gid}.
1390 \subsection{Le funzioni \func{setuid} e \func{setgid}}
1391 \label{sec:proc_setuid}
1393 Le due funzioni che venfono usate per cambiare identità (cioè utente e gruppo
1394 di appartenenza) ad un processo sono rispettivamente \func{setuid} e
1395 \func{setgid}; come accennato in \secref{sec:proc_user_group} in Linux esse
1396 seguono la sematica POSIX che prevede l'esistenza di \textit{saved user id} e
1397 \textit{saved group id}; i loro prototipi sono:
1401 \headdecl{sys/types.h}
1403 \funcdecl{int setuid(uid\_t uid)} setta l'\textit{user ID} del processo
1406 \funcdecl{int setgid(gid\_t gid)} setta il \textit{group ID} del processo
1409 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1410 l'unico errore possibile è \macro{EPERM}.
1413 Il funzionamento di queste due funzioni è analogo, per cui considereremo solo
1414 la prima; la seconda si comporta esattamente allo stesso modo facendo
1415 riferimento al \textit{group id} invece che all'\textit{user id}. Gli
1416 eventuali \textit{supplementary group id} non vengono modificati da nessuna
1417 delle funzioni che tratteremo in questa sezione.
1420 L'effetto della chiamata è diverso a seconda dei privilegi del processo; se
1421 l'\textit{effective user id} è zero (cioè è quello dell'amministratore di
1422 sistema) allora tutti gli identificatatori (\textit{real}, \textit{effective}
1423 e \textit{saved}) vengono settati al valore specificato da \var{uid},
1424 altrimenti viene settato solo l'\textit{effective user id}, e soltanto se il
1425 valore specificato corrisponde o al \textit{real user id} o al \textit{saved
1426 user id}. Negli altri casi viene segnalato un errore (con \macro{EPERM}).
1428 Come accennato l'uso principale di queste funzioni è quello di poter
1429 consentire ad un programma con i bit \acr{suid} o \acr{sgid} settati di
1430 riportare l'\textit{effective user id} a quello dell'utente che ha lanciato il
1431 programma, effettuare il lavoro che non necessita di privilegi aggiuntivi, ed
1432 eventualmente tornare indietro.
1434 Come esempio per chiarire dell'uso di queste funzioni prediamo quello con cui
1435 viene gestito l'accesso al file \file{/var/log/utmp}. In questo file viene
1436 registrato chi sta usando il sistema al momento corrente; chiaramente non può
1437 essere lasciato aperto in scrittura a qualunque utente, che protrebbe
1438 falsificare la registrazione. Per questo motivo questo file (e l'analogo
1439 \file{/var/log/wtmp} su cui vengono registrati login e logout) appartengono ad
1440 un gruppo dedicato (\acr{utmp}) ed i programmi che devono accedervi (ad
1441 esempio tutti i programmi di terminale in X, o il programma \cmd{screen}
1442 che crea terminali multipli su una console) appartengono a questo gruppo ed
1443 hanno il bit \acr{sgid} settato.
1445 Quando uno di questi programmi (ad esempio \cmd{xterm}) viene lanciato la
1446 situazione degli identificatori è la seguente:
1449 \textit{real group id} &=& \textrm{\acr{gid} (del chiamante)} \\
1450 \textit{effective group id} &=& \textrm{\acr{utmp}} \\
1451 \textit{saved group id} &=& \textrm{\acr{utmp}}
1453 in questo modo, dato che l'\textit{effective group id} è quello giusto, il
1454 programma può accedere a \file{/var/log/utmp} in scrittura ed aggiornarlo, a
1455 questo punto il programma può eseguire una \func{setgid(getgid())} per settare
1456 l'\textit{effective group id} a quello dell'utente (e dato che il \textit{real
1457 group id} corrisponde la funzione avrà successo), in questo modo non sarà
1458 possibile lanciare dal terminale programmi che modificano detto file, in tal
1459 caso infatti la situazione degli identificatori sarebbe:
1462 \textit{real group id} &=& \textrm{\acr{gid} (invariato)} \\
1463 \textit{effective group id} &=& \textrm{\acr{gid}} \\
1464 \textit{saved group id} &=& \textrm{\acr{utmp} (invariato)}
1466 e ogni processo lanciato dal terminale avrebbe comunque \acr{gid} come
1467 \textit{effective group id}. All'uscita dal terminale, per poter di nuovo
1468 aggiornare lo stato di \file{/var/log/utmp} il programma eseguirà una
1469 \func{setgid(utmp)} (dove \var{utmp} è il valore numerico associato al gruppo
1470 \acr{utmp}, ottenuto ad esempio con una \func{getegid}), dato che in questo
1471 caso il valore richiesto corrisponde al \textit{saved group id} la funzione
1472 avrà successo e riporterà la situazione a:
1475 \textit{real group id} &=& \textrm{\acr{gid} (invariato)} \\
1476 \textit{effective group id} &=& \textrm{\acr{utmp}} \\
1477 \textit{saved group id} &=& \textrm{\acr{utmp} (invariato)}
1479 consentendo l'accesso a \file{/var/log/utmp}.
1481 Occorre però tenere conto che tutto questo non è possibile con root, in tal
1482 caso infatti l'esecuzione una \func{setuid} comporta il cambiamento di tutti
1483 gli identificatori associati al processo rendendo impossibile riguadagnare i
1484 privilegi di amministratore. Questo comportamento è corretto per l'uso che ne
1485 fa \cmd{login} una volta che crea una nuova shell per l'utente; ma quando si
1486 vuole cambiare soltanto l'\textit{effective user id} del processo per cedere i
1487 privilegi occorre ricorrere ad altre funzioni (si veda ad esempio
1488 \secref{sec:proc_seteuid}).
1491 \subsection{Le funzioni \func{setreuid} e \func{setresuid}}
1492 \label{sec:proc_setreuid}
1494 Queste due funzioni derivano da BSD che non supportando\footnote{almeno fino
1495 alla versione 4.3+BSD TODO, verificare e aggiornare la nota} i \textit{saved
1496 id} le usava per poter scambiare fra di loro effective e real id. I
1501 \headdecl{sys/types.h}
1503 \funcdecl{int setreuid(uid\_t ruid, uid\_t euid)} setta il \textit{real user
1504 ID} e l'\textit{effective user ID} del processo corrente ai valori
1505 specificati da \var{ruid} e \var{euid}.
1507 \funcdecl{int setregid(gid\_t rgid, gid\_t egid)} setta il \textit{real group
1508 ID} e l'\textit{effective group ID} del processo corrente ai valori
1509 specificati da \var{rgid} e \var{egid}.
1511 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1512 l'unico errore possibile è \macro{EPERM}.
1515 Gli utenti normali possono settare gli identificatori soltanto ai valori del
1516 loro \textit{effective id} o \textit{real id}, valori diversi comportano il
1517 fallimento della chiamata; l'amministratore invece può specificare un valore
1518 qualunque. Specificando -1 come valore l'identificatore corrispondente viene
1519 lasciato inalterato.
1521 Con queste funzione si possono scambiare fra loro \textit{real id} e
1522 \textit{effective id}, e pertanto è possibile implementare un comportamento
1523 simile a quello visto in precedenza per \func{setgid}, cedendo i privilegi con
1524 un primo scambio, e recuperandoli, eseguito il lavoro non privilegiato, con un
1527 In questo caso però occorre porre molta attenzione quando si creano nuovi
1528 processi nella fase intermedia, questi infatti avranno un \textit{real id}
1529 privilegiato, che dovrà essere esplicitamente eliminato prima di porre in
1530 esecuzione un nuovo processo, che altrimenti potrebbero riottenere detti
1533 Come accennato le funzioni derivano da un'implementazione che non prevedeva la
1534 presenza di \textit{saved id}, per evitare che questo possa essere
1535 riutilizzato nella fase intermedia per recuperare un \textit{effective id}
1536 (privilegiato) originale, tutte le volte che uno degli identificatori viene
1537 modificato da una di queste funzioni, il \textit{saved id} viene sempre
1538 settato al nuovo valore che viene ad assumere l'\textit{effective id}.
1541 \subsection{Le funzioni \func{seteuid} e \func{setegid}}
1542 \label{sec:proc_seteuid}
1544 Queste funzioni sono un'estensione allo standard POSIX.1 (ma sono comunque
1545 supportate dalla maggior parte degli unix) usate per cambiare gli
1546 \textit{effective id}; i loro prototipi sono:
1550 \headdecl{sys/types.h}
1552 \funcdecl{int seteuid(uid\_t uid)} setta l'\textit{effective user ID} del
1555 \funcdecl{int setegid(gid\_t gid)} setta l'\textit{effective group ID} del
1558 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1559 l'unico errore possibile è \macro{EPERM}.
1565 \subsection{Le funzioni \func{setresuid} e \func{setresgid}}
1566 \label{sec:proc_setresuid}
1568 Queste due funzioni sono una estensione introdotta in Linux dal kernel 2.1.44,
1569 e permettono un completo controllo su tutti gli identificatori (\textit{real},
1570 \textit{effective} e \textit{saved}), i prototipi sono:
1574 \headdecl{sys/types.h}
1576 \funcdecl{int setresuid(uid\_t ruid, uid\_t euid, uid\_t suid)} setta il
1577 \textit{real user ID}, l'\textit{effective user ID} e il \textit{saved user
1578 ID} del processo corrente ai valori specificati rispettivamente da
1579 \var{ruid}, \var{euid} e \var{suid}.
1581 \funcdecl{int setresgid(gid\_t rgid, gid\_t egid, gid\_t sgid)} setta il
1582 \textit{real group ID}, l'\textit{effective group ID} e il \textit{saved group
1583 ID} del processo corrente ai valori specificati rispettivamente da
1584 \var{rgid}, \var{egid} e \var{sgid}.
1586 Le funzioni restituiscono 0 in caso di successo e -1 in caso di fallimento:
1587 l'unico errore possibile è \macro{EPERM}.
1591 \subsection{Le funzioni \func{setfsuid} e \func{setfsgid}}
1592 \label{sec:proc_setfsuid}
1596 \subsection{Le \textit{race condition}}
1597 \label{sec:proc_race_cond}
1599 Si definisce una \textit{race condition} il caso in cui diversi processi
1600 stanno cercando di fare qualcosa con una risorsa comune ed il risultato finale
1601 viene a dipendere dall'ordine di esecuzione dei medesimi. Ovviamente dato che
1602 l'ordine di esecuzione di un processo, senza appositi meccanismi di
1603 sincronizzazione, non è assolutamente prevedibile, queste situazioni sono
1604 fonti di errori molto subdoli, che possono verificarsi solo in condizioni
1605 particolari e quindi difficilmente riproducibili.