进程管理2
1、用户和组:
进程是和用户和组关联的,用户id和组id分别是C语言的uid_t和gid_t类型表示。数字表示和可读字符串之间的映射关系
是通过用户空间的/etc/passwd和/etc/group两个文件完成的,内核只处理数字表示形式。
在Unix系统中,一个进程的用户ID和组ID代表这个进程可以执行哪些文件操作以及向其他进程发送信号的能力。进程必须以
合适的用户和组运行,最好的方式是遵循“最小权限”的原则。这个要求是变化的:如果进程在前期需要以root用户的权限
运行,那么后面不需要root权限了,那么就应该在后面尽可能采用权限更小的用户权限运行。
1)一个进程的 real user ID 是指运行此进程的用户角色的 ID。
2)一个进程的 effective user ID 是指此进程目前实际有效的用户 ID(也就是权限的大小),effective user ID 主要用来
校验权限时使用,比如打开文件、创建文件、修改文件、向别的进程发信号,等等。
如果一个进程是以 root 身份来运行的,那么上面这两个 ID 可以用 setuid/seteuid 随便修改,但是如果一个进程是以普通
用户身份来运行的,那么上面这两个 ID 一般来说是相同的,并且也不能随便修改。只有一种情况例外:
此进程的可执行文件的权限标记中,设置了“设置用户 ID”位!
3)设置用户id是文件权限的一个标记,可以通过
chmod +s /path/to/file
来设置用户id位。一旦用了这个命令之后,再执行这个文件,那么生成的进程的 effective user ID 就变成了这个可执行文件
的 owner user ID(属主用户 ID)。
4)保存的设置用户id,是程序在执行exec一个setuid程序(设置了设置用户id标记位的文件)之前的有效用户id,这样可以保存
通过保存的设置用户id来恢复之前的有效用户的id
当一个用户登录的时候,login程序会把真实的用户ID和有效的用户ID设置成/etc/passwd文件中指定的UID,当一个进程fork的
时候,子进程会从父进程那继承它。真实UID和真实GID标识进程的真实所有者,会影响到发送信号的权限。
2、改变实际用户(组)ID 和保存设置的用户(组)ID
setuid是用来设置当前进程的有效id。如果当前用户的有效id是root,那么实际用户id和保存设置的用户id也会被同时设置为uid,
root用户可以为uid提供任何值,从而将所有三种用户id都设置成uid了。非root用户只允许将实际用户id和保存设置的用户id最为
uid的实际参数传递,也就是有效用户id只能是这两种的一个值。
成功返回0,错误返回-1,并设置errno:
EAGAIN: uid的值和实际用户id的值不同,把uid设置为real user id会让用户超过他的NRPOC限制(它指定了一个用户可以拥有的
进程数)。
EPERM:用户不是root,uid既不是有效也不是保存用户ID。
上面的讨论也适合setgid。
3、改变有效用户或者组id:
Linux提供了两个POSIX所定义的函数来改变当前进程的有效用户id和组id的值:
seteuid是将有效用户ID的值设置为euid。root用户可以为euid提供任何值,而非root用户只能将有效用户ID设置设置为实际用户
ID或者保存设施的用户ID。成功返回0,失败返回-1,并且把errno设置为EPERM,它代表当前进程的所有者不是root用户,并且euid
既不等于用户ID也不同于实际用户id也不等于保存用户id。
非root用户,seteuid和setuid的行为一样。始终使用seteuid()是一个标准实践和好的方法,除非你的进程倾向于以root身份运行,
这样setuid会变得更有意义。
4、获得用户和组ID:
以下两个系统调用返回真实用户和组的ID:
相应的以下两个系统调用返回有效用户和组的ID:
这两组系统调用不会失败。
5、会话和进程组:
每个进程都属于某个进程组,进程组是由一个或者多个相互间有关联的进程组成,它的目的是为了作业控制。
进程组的主要特征是信号可以给进程组中的所有的进程:这个信号使同一个进程组中的所有进程终止、停止
或者继续运行。
每一个进程组都由进程组ID(pgid)唯一来标识,并且有一个组长进程(process goup leader),进程组的ID
就是组长进程的pid。只要在某个进程组中还有一个进程存在,则该进程组就存在,即使组长进程终止了,该进程
仍然存在。
当新的用户登录计算机时,登录进程就会为这个用户创建一个新的会话。这个会话中只有用户登录shell这一个进程。
登录shell作为会话首进程(session leader)。会话囊括了登录用户的所有活动,并且分配给用户一个控制终端。
1)与会话相关的系统调用:
在登录时,shell会创建新的会话。这是通过以下系统调用完成的:
setsid创建的新会话,并在其中创建一个新的进程组,而且调用进程称为新会话的首进程和进程组的组长进程。
成功返回,新会话的会话ID,错误时,返回-1,并把errno设置成EPERM,表示调用进程是当前进程组的组长进程。
有一个简单的方法可以使得任何进程都不成为组长进程:创建一个新进程,终止父进程,让子进程来调用setsid。
例如:
获得当前进程的会话id,虽然不怎么常用:
调用成功返回进程会话ID。如果参数是0,则返回调用进程的会话id。
错误返回-1,并设置errno为ESRCH,表示pid不代表任何进程。
其他的UNIX系统可能设置errno为EPERM,它表示pid指示的进程和调用进程不属于同一个会话。Linux
倾向于返回任何进程的会话id。
2)与进程组相关的系统调用:
setpgid将进程pid的进程的进程组ID设置为pgid:
如果pid是0,则使用调用者的进程id。如果pgid是0,则将pid进程的id设置为进程组的ID。
成功返回0。
a)pid代表的进程必须是调用者或者是其子进程,而且子进程没有调用过exec函数,并且pid进程和
调用者在同一个会话中。
b)pid进程不能使会话首进程。
c)如果pgid已经存在,那么必须与调用者在同一个会话中。
d)pgid非负。
错误返回-1,并且把errno设置成:
EACCESS pid进程是迪欧用进程的子进程,并且子进程调用了exec函数。
EINVAL pgid < 0
EPERM pid进程是会话的首进程,或者与调用者不在同一个会话中的另一个进程。也可能试图把进程放置
到一个不同在一个会话的进程组中。
ESRCH pid不是当前进程或者当前进程的子进程。
可以通过会话获得进程的进程组ID:
成功返回pid进程组的ID。如果pid是0,返回当前进程的进程组ID,出错返回-1,而errno的唯一值是ERSCH,
表示pid是一个非法的进程标识符。
获得当前进程的进程组ID:
参考:
1、《Linux system programming》
2、《Unix system programming》
3、《Advanced Programming in the Unix Environment》
1、用户和组:
进程是和用户和组关联的,用户id和组id分别是C语言的uid_t和gid_t类型表示。数字表示和可读字符串之间的映射关系
是通过用户空间的/etc/passwd和/etc/group两个文件完成的,内核只处理数字表示形式。
在Unix系统中,一个进程的用户ID和组ID代表这个进程可以执行哪些文件操作以及向其他进程发送信号的能力。进程必须以
合适的用户和组运行,最好的方式是遵循“最小权限”的原则。这个要求是变化的:如果进程在前期需要以root用户的权限
运行,那么后面不需要root权限了,那么就应该在后面尽可能采用权限更小的用户权限运行。
1)一个进程的 real user ID 是指运行此进程的用户角色的 ID。
2)一个进程的 effective user ID 是指此进程目前实际有效的用户 ID(也就是权限的大小),effective user ID 主要用来
校验权限时使用,比如打开文件、创建文件、修改文件、向别的进程发信号,等等。
如果一个进程是以 root 身份来运行的,那么上面这两个 ID 可以用 setuid/seteuid 随便修改,但是如果一个进程是以普通
用户身份来运行的,那么上面这两个 ID 一般来说是相同的,并且也不能随便修改。只有一种情况例外:
此进程的可执行文件的权限标记中,设置了“设置用户 ID”位!
3)设置用户id是文件权限的一个标记,可以通过
chmod +s /path/to/file
来设置用户id位。一旦用了这个命令之后,再执行这个文件,那么生成的进程的 effective user ID 就变成了这个可执行文件
的 owner user ID(属主用户 ID)。
4)保存的设置用户id,是程序在执行exec一个setuid程序(设置了设置用户id标记位的文件)之前的有效用户id,这样可以保存
通过保存的设置用户id来恢复之前的有效用户的id
当一个用户登录的时候,login程序会把真实的用户ID和有效的用户ID设置成/etc/passwd文件中指定的UID,当一个进程fork的
时候,子进程会从父进程那继承它。真实UID和真实GID标识进程的真实所有者,会影响到发送信号的权限。
2、改变实际用户(组)ID 和保存设置的用户(组)ID
#include <sys/types.h>
#include <unistd.h>
int setuid(uid_t uid);
int setgid(gid_t gid);
setuid是用来设置当前进程的有效id。如果当前用户的有效id是root,那么实际用户id和保存设置的用户id也会被同时设置为uid,
root用户可以为uid提供任何值,从而将所有三种用户id都设置成uid了。非root用户只允许将实际用户id和保存设置的用户id最为
uid的实际参数传递,也就是有效用户id只能是这两种的一个值。
成功返回0,错误返回-1,并设置errno:
EAGAIN: uid的值和实际用户id的值不同,把uid设置为real user id会让用户超过他的NRPOC限制(它指定了一个用户可以拥有的
进程数)。
EPERM:用户不是root,uid既不是有效也不是保存用户ID。
上面的讨论也适合setgid。
3、改变有效用户或者组id:
Linux提供了两个POSIX所定义的函数来改变当前进程的有效用户id和组id的值:
#include <sys/types.h>
#include <unistd.h>
int seteuid(uid_t euid);
int setegid(gid_t egid);
seteuid是将有效用户ID的值设置为euid。root用户可以为euid提供任何值,而非root用户只能将有效用户ID设置设置为实际用户
ID或者保存设施的用户ID。成功返回0,失败返回-1,并且把errno设置为EPERM,它代表当前进程的所有者不是root用户,并且euid
既不等于用户ID也不同于实际用户id也不等于保存用户id。
非root用户,seteuid和setuid的行为一样。始终使用seteuid()是一个标准实践和好的方法,除非你的进程倾向于以root身份运行,
这样setuid会变得更有意义。
4、获得用户和组ID:
以下两个系统调用返回真实用户和组的ID:
#include <unistd.h>
#include <sys/type.h>
uid_t getuid(void);
gid_t getgid(void);
相应的以下两个系统调用返回有效用户和组的ID:
#include <unistd.h>
#include <sys/type.h>
uid_t geteuid(void);
gid_t getegid(void);
这两组系统调用不会失败。
5、会话和进程组:
每个进程都属于某个进程组,进程组是由一个或者多个相互间有关联的进程组成,它的目的是为了作业控制。
进程组的主要特征是信号可以给进程组中的所有的进程:这个信号使同一个进程组中的所有进程终止、停止
或者继续运行。
每一个进程组都由进程组ID(pgid)唯一来标识,并且有一个组长进程(process goup leader),进程组的ID
就是组长进程的pid。只要在某个进程组中还有一个进程存在,则该进程组就存在,即使组长进程终止了,该进程
仍然存在。
当新的用户登录计算机时,登录进程就会为这个用户创建一个新的会话。这个会话中只有用户登录shell这一个进程。
登录shell作为会话首进程(session leader)。会话囊括了登录用户的所有活动,并且分配给用户一个控制终端。
1)与会话相关的系统调用:
在登录时,shell会创建新的会话。这是通过以下系统调用完成的:
#include <unistd.h>
pid_t setsid(void);
setsid创建的新会话,并在其中创建一个新的进程组,而且调用进程称为新会话的首进程和进程组的组长进程。
成功返回,新会话的会话ID,错误时,返回-1,并把errno设置成EPERM,表示调用进程是当前进程组的组长进程。
有一个简单的方法可以使得任何进程都不成为组长进程:创建一个新进程,终止父进程,让子进程来调用setsid。
例如:
pid_t pid;
pid = fork();
if(pid == -1){
perror("fork");
return -1;
}else if(pid != 0){
exit(EXIT_SUCESS);
}
if(setsid() == -1){
perror("setsid");
return -1;
}
获得当前进程的会话id,虽然不怎么常用:
#include <unistd.h>
pid_t getsid(pid_t pid);
调用成功返回进程会话ID。如果参数是0,则返回调用进程的会话id。
错误返回-1,并设置errno为ESRCH,表示pid不代表任何进程。
其他的UNIX系统可能设置errno为EPERM,它表示pid指示的进程和调用进程不属于同一个会话。Linux
倾向于返回任何进程的会话id。
pid_t sid;
sid = getsid(0);
if(sid == -1)
perror("getsid");
else
printf("My session id=%d\n",sid);
2)与进程组相关的系统调用:
setpgid将进程pid的进程的进程组ID设置为pgid:
#include <unistd.h>
int setpgid(pid_t pid, pid_t pgid);
如果pid是0,则使用调用者的进程id。如果pgid是0,则将pid进程的id设置为进程组的ID。
成功返回0。
a)pid代表的进程必须是调用者或者是其子进程,而且子进程没有调用过exec函数,并且pid进程和
调用者在同一个会话中。
b)pid进程不能使会话首进程。
c)如果pgid已经存在,那么必须与调用者在同一个会话中。
d)pgid非负。
错误返回-1,并且把errno设置成:
EACCESS pid进程是迪欧用进程的子进程,并且子进程调用了exec函数。
EINVAL pgid < 0
EPERM pid进程是会话的首进程,或者与调用者不在同一个会话中的另一个进程。也可能试图把进程放置
到一个不同在一个会话的进程组中。
ESRCH pid不是当前进程或者当前进程的子进程。
可以通过会话获得进程的进程组ID:
#include <unistd.h>
pid_t getpgid(pid_t pid);
成功返回pid进程组的ID。如果pid是0,返回当前进程的进程组ID,出错返回-1,而errno的唯一值是ERSCH,
表示pid是一个非法的进程标识符。
获得当前进程的进程组ID:
pid_t pgid;
pgid = getpgid(0);
if(pgid == -1)
perror("getpgid");
else
printf("My process group id=%d\n",pgid);
参考:
1、《Linux system programming》
2、《Unix system programming》
3、《Advanced Programming in the Unix Environment》