setgroupsシステムコール
Rev.1を表示中。最新版はこちら。
int gidsetsizeはグループID数で、gid_t grouplist[]はgidsetsize個のグループIDです。設定できる最大グループID数は、NGROUPS_MAX=65536(ID=0を含めて16ビット内)です。groups_alloc()でgidsetsizeに応じたstruct group_info group_infoを取得し、引数のgrouplistを複写し、current->cred->group_info = group_infoとし、プロセスが引数のグループ群に属する事になります。この時、groups_search()でグループIDの検索の効率化のため、groups_sort()でgroup_info内のグループIDを昇順に並び替えます。
ngroupsはグループID数、nblocksはblocks[]の動的に割り当てるPAGE単位ブロックの配列数です。nblocks<NGROUPS_SMALLなら、small_block[]に設定されます。
struct group_info { atomic_t usage; int ngroups; int nblocks; gid_t small_block[NGROUPS_SMALL]; gid_t *blocks[0]; }; #define NGROUPS_MAX 65536 #define NGROUPS_SMALL 32 SYSCALL_DEFINE2(setgroups, int, gidsetsize, gid_t __user *, grouplist) { struct group_info *group_info; int retval; if (!nsown_capable(CAP_SETGID)) return -EPERM; if ((unsigned)gidsetsize > NGROUPS_MAX) return -EINVAL; group_info = groups_alloc(gidsetsize); if (!group_info) return -ENOMEM; retval = groups_from_user(group_info, grouplist); if (retval) { put_group_info(group_info); return retval; } retval = set_current_groups(group_info); put_group_info(group_info); return retval; }グループIDがNGROUPS_SMALL以下の場合、small_block[NGROUPS_SMALL]を、そうでないならPAGE単位で動的に割り当てgroup_info->blocks[i] = bとします。
#define NGROUPS_PER_BLOCK ((unsigned int)(PAGE_SIZE / sizeof(gid_t))) struct group_info *groups_alloc(int gidsetsize) { struct group_info *group_info; int nblocks; int i; nblocks = (gidsetsize + NGROUPS_PER_BLOCK - 1) / NGROUPS_PER_BLOCK; nblocks = nblocks ? : 1; group_info = kmalloc(sizeof(*group_info) + nblocks*sizeof(gid_t *), GFP_USER); if (!group_info) return NULL; group_info->ngroups = gidsetsize; group_info->nblocks = nblocks; atomic_set(&group_info->usage, 1); if (gidsetsize <= NGROUPS_SMALL) group_info->blocks[0] = group_info->small_block; else { for (i = 0; i < nblocks; i++) { gid_t *b; b = (void *)__get_free_page(GFP_USER); if (!b) goto out_undo_partial_alloc; group_info->blocks[i] = b; } } return group_info; out_undo_partial_alloc: while (--i >= 0) { free_page((unsigned long)group_info->blocks[i]); } kfree(group_info); return NULL; } int set_current_groups(struct group_info *group_info) { struct cred *new; int ret; new = prepare_creds(); if (!new) return -ENOMEM; ret = set_groups(new, group_info); if (ret < 0) { abort_creds(new); return ret; } return commit_creds(new); } int set_groups(struct cred *new, struct group_info *group_info) { put_group_info(new->group_info); groups_sort(group_info); get_group_info(group_info); new->group_info = group_info; return 0; }ファイル参照時グループに掛かるチェックでコールされ、inodeのgipがcurrent->cred->group_infoに有しているかチェックします。group_info->blocks[0]から順に走査するのでなく、検索グループ数の半分の位置のIDより大きければ上位半分を、小さければ下位半分を、同じように1/2単位での検索する効率的な実装です。故ユーザ引数のグループを並び替えしてプロセスに設定しているわけです。
int groups_search(const struct group_info *group_info, gid_t grp) { unsigned int left, right; if (!group_info) return 0; left = 0; right = group_info->ngroups; while (left < right) { unsigned int mid = (left+right)/2; if (grp > GROUP_AT(group_info, mid)) left = mid + 1; else if (grp < GROUP_AT(group_info, mid)) right = mid; else return 1; } return 0; }i / NGROUPS_PER_BLOCKはブロック位置、i % NGROUPS_PER_BLOCKはそのブロックバッファ内の位置
#define GROUP_AT(gi, i) \ ((gi)->blocks[(i) / NGROUPS_PER_BLOCK][(i) % NGROUPS_PER_BLOCK])