| EXECVE(2) | Руководство программиста Linux | EXECVE(2) |
execve - выполнить программу
#include <unistd.h>
int execve(const char *pathname, char *const argv[], char *const envp[]);
Вызов execve выполняет программу, задаваемую pathname. При этом программа, выполняющаяся вызвавшим процессом, замещается новой программой, заново инициализируется стек, куча и сегменты данных (инициализированные и не инициализированные).
В pathname должно быть указано имя двоичного исполняемого файла или сценарий, начинающийся со строки вида:
#! интерпретатор [необязательные параметры]
Подробней о сценариях написано далее в "Интерпретируемые сценарии".
argv — это массив строковых параметров, передаваемых новой программе. По соглашению, в первой строке (т. е., argv[0]) должно содержаться имя файла, относящееся к запускаемой программе. envp — это массив строк в формате ключ=значение, которые передаются новой программе в качестве окружения (environment). Оба массива argv и envp завершаются указателем null.
К массиву параметров и окружению можно обратиться из вызываемой программой главной функции, если она определена как:
int main(int argc, char *argv[], char *envp[])
Однако заметим, что использование третьего аргумента главной функции не определено в POSIX.1; согласно POSIX.1, окружение должно быть доступно через внешнюю переменную environ(7).
При успешном выполнении execve() управление не возвращается, а код, инициализированные данные, неинициализированные данные (bss) и стек вызвавшего процесса перезаписываются содержимым загруженной программы.
Если текущая программа выполнялась под управлением ptrace, то после успешного вызова execve() ей посылается сигнал SIGTRAP.
Если у файла программы, на который ссылается pathname, установлен бит set-user-ID, то фактический идентификатор пользователя вызывающего процесса меняется на идентификатор владельца файла программы. Точно также, если на файле программы установлен бит set-group-ID, то фактический идентификатор группы вызывающего процесса становится равным группе, которой принадлежит файл программы.
Вышеупомянутые преобразования эффективных IDs не выполняются (т. е., биты set-user-ID и set-group-ID игнорируются), если что-либо из следующего истинно:
Также игнорируются мандаты файла программы (смотрите capabilities(7)), если что-то из вышеперечисленного истинно.
Фактический идентификатор пользователя процесса копируется в сохранённый идентификатор пользователя (set-user-ID), также фактический идентификатор группы копируется в сохранённый идентификатор группы (set-group-ID). Это копирование выполняется после изменения любого фактического идентификатора, которое происходит из-за выставленных бит режима set-user-ID и set-group-ID.
Реальные UID и GID процесса, а также его дополнительные ID групп не изменяются при вызове execve().
Если исполняемый файл является динамически-скомпонованным файлом в формате a.out, содержащим заглушки для динамических библиотек, то в начале выполнения этого файла вызывается динамический компоновщик Linux ld.so(8), который начинает выполнение с загрузки общих объектов в память и компонует их с исполняемым файлом.
Если исполняемый файл является динамически компонуемым файлом в формате ELF, то для загрузки необходимых общих объектов используется интерпретатор, указанный в сегменте PT_INTERP. Для программ, скомпонованных с glibc, обычно это /lib/ld-linux.so.2 (смотрите ld-linux.so(8)).
При вызове execve() сохраняются все свойства процесса, за исключением:
В POSIX.1 определён список сохраняемых свойств процесса. Следующие свойства процесса, имеющиеся только в Linux, также не сохраняются при execve():
Также стоит учитывать следующее:
Интерпретируемый сценарий — это текстовый файл, у которого установлен бит выполнения и первая строка имеет вид:
#! интерпретатор [необязательные параметры]
В поле интерпретатор должно быть указано имя файла запуска. Если в аргументе pathname для execve() указан интерпретируемый сценарий, то интерпретатор будет вызван со следующими параметрами:
интерпретатор [необязательный параметр] pathname параметр…
где параметр... — последовательность слов, указываемых аргументом argv в execve() начиная с argv[1].
В целях переносимости, необязательный параметр должен быть или пустым, или задаваться одним словом (т.е., не должен содержать пробельных символов); см. ЗАМЕЧАНИЯ далее.
Начиная с Linux 2.6.28 ядро позволяет интерпретатору сценария самому быть сценарием. Это разрешение рекурсивно (до четырёх раз), поэтому сценарий может быть сценарием, который интерпретируется сценарием и т. д.
Большинство реализаций UNIX накладывает некоторые ограничения на полный размер параметра командной строки (argv) и окружения (envp), которые можно передать новой программе. POSIX.1 позволяет реализации объявить это ограничение через константу ARG_MAX (определённую в <limits.h> или сделать её доступной во время выполнения через вызов sysconf(_SC_ARG_MAX)).
В ядре Linux до версии 2.6.23 размер памяти, используемый для хранения окружения и строк параметров, был ограничен 32 страницами (определялся ядерной константой MAX_ARG_PAGES). На архитектурах с 4-КиБ размером страницы это давало максимальный размер в 128 КиБ.
Начиная с ядра версии 2.6.23, большинство архитектур поддерживают предельный размер, высчитываемый от мягкого ограничения ресурса RLIMIT_STACK (см. getrlimit(2)), который действует во время вызова execve(). (Исключение составляют архитектуры без механизма управления памятью: в них ограничение рассчитывается как и до версии 2.6.23.) Это изменение позволяет программам иметь больший список параметров и/или окружения. Для этих архитектур полный размер ограничен до 1/4 разрешённого размера стека. (Накладываемое ограничение в 1/4 позволяет новой программе всегда иметь некоторое пространство под стек.) Начиная с Linux версии 2.6.25, ядро отводит нижние 32 страницы для этого предельного размера, поэтому, даже когда RLIMIT_STACK задан слишком низко, приложения гарантированно получат, по крайней мере, столько же пространства под параметры и окружение, сколько бы они получили при работе с Linux 2.6.23 и ранее. (Это гарантия не обеспечивалась в Linux 2.6.23 и 2.6.24.) Также, размер строки ограничен 32 страницами (ядерная константа MAX_ARG_STRLEN), а максимальное число строк может быть 0x7FFFFFFF.
При успешном выполнении execve() не возвращает управление. В случае ошибки возвращается -1, а errno устанавливается в соответствующее значение.
POSIX.1-2001, POSIX.1-2008, SVr4, 4.3BSD. В POSIX не описано поведение #!, но это существует (в нескольких вариантах) в других системах UNIX.
Иногда, про execve() (и подобные функции, описанные в exec(3)) говорят, что он «выполняет новый процесс». Это крайне некорректная фраза — не появляется нового процесса; много атрибутов вызывающего процесса остаются неизменными (в частности, его PID). Всё, что делает execve(2), это перестраивает существующий процесс (вызывавший процесс) под выполнение новой программы.
Над процессами с установленными set-user-ID и set-group-ID не может выполняться ptrace(2).
Результат работы при монтировании файловой системы с параметром nosuid различается в разных версиях ядра Linux: некоторые будут отказывать в запуске исполняемых файлов с установленными битами set-user-ID и set-group-ID, если это дало бы пользователю больше прав чем уже есть (и возвращать EPERM), другие просто проигнорируют биты set-user-ID и set-group-ID и успешно выполнят exec().
В Linux значения argv и envp могут быть равны NULL. В обоих случаях, это работает также, как если аргумент бы содержал указатель на список с единственным указателем null. Не пользуйтесь преимуществом данной нестандартной и непереносимой возможностью! В многих других системах UNIX указание argv равным NULL приводит к ошибке (EFAULT). Некоторые другие системы UNIX при envp==NULL работают также как Linux.
В POSIX.1 указано, что значения, возвращаемые sysconf(3), должны быть неизменны в течении существования процесса. Однако, начиная с версии Linux 2.6.23, если изменяется ограничение ресурса RLIMIT_STACK, то значение, возвращаемое для _SC_ARG_MAX, также будет изменено, чтобы отразить, что ограничение на пространство для хранения параметров командной строки и окружения было изменено.
В большинстве случаев отказа execve() управление возвращается в первоначально исполняемый образ и вызывающий execve() может обработать ошибку. Однако в (редких) случаях (обычно вызванных отсутствием ресурсов), ошибка может возникнуть после точки невозврата: первоначально исполняемый образ уже разрушен, а новый образ ещё сознан не полностью. В таких случаях ядро убивает процесс сигналом SIGKILL.
Максимальная длина первой строки с указанным интерпретатором сценариев — 127 символов.
Семантика необязательного параметра интерпретатора сценариев различна в разных реализациях. В Linux, вся строка после имени интерпретатора передаётся интерпретатору как единый параметр, и эта строка может содержать пробельные символы. Однако, такое поведение отличается от других систем. Некоторые системы используют первый пробел в качестве признака окончания необязательного параметра. В других системах, интерпретатор сценариев может иметь несколько параметров, и пробелы в необязательном параметре используются для их разграничения.
В Linux игнорируются биты set-user-ID и set-group-ID на файлах со сценариями.
Это более подробное объяснение ошибки EAGAIN, которая возвращается (начиная с Linux 3.1) при вызове execve().
Ошибка EAGAIN может возникать, когда предшествующий вызов setuid(2), setreuid(2) или setresuid(2) приводит к изменению у процесса реального идентификатора пользователя и это изменение приводит к тому, что процесс превышает свой ограничитель ресурса RLIMIT_NPROC (т. е., количество процессов, принадлежащих новому реальному UID, превышает ограничитель ресурса). В версиях Linux с 2.6.0 по 3.0, это приводит к ошибке вызова set*uid() (до версии 2.6 ограничитель ресурса не учитывался для процессов, которые изменили идентификатор пользователя).
Начиная с Linux 3.1, описанный сценарий больше не приводит к ошибке в вызове set*uid(), так как это слишком часто приводило к дырам в безопасности, когда некорректное приложение не проверяет возвращаемое состояние и предполагает, что если вызывающий имеет права root, то вызов всегда выполняется успешно. Вместо этого вызов set*uid() теперь успешно изменяет реальный UID, но ядро устанавливает внутренний флаг с именем PF_NPROC_EXCEEDED, который означает, что был превышен ограничитель ресурса RLIMIT_NPROC. Если флаг PF_NPROC_EXCEEDED установлен и ограничитель ресурса всё ещё превышен на момент последующего вызова execve(), то вызов завершается с ошибкой EAGAIN. Такая логика ядра гарантирует, что ограничитель ресурса RLIMIT_NPROC будет учтён при обычной последовательности действий для привилегированных служб, а именно — fork(2) + set*uid() + execve().
Если ограничитель ресурса был не превышен на момент вызова execve() (так как другие процессы, принадлежащие этому реальному UID завершили работу между вызовом set*uid() и execve()), то вызов execve() выполнится успешно и ядро очистит флаг PF_NPROC_EXCEEDED у процесса. Флаг также очищается, если при успешном выполнении процессом последующего вызова fork(2).
В UNIX V6 список аргументов вызова exec() заканчивался 0, а список аргументов main заканчивался -1. Поэтому, этот список аргументов не мог быть использован напрямую в последующем вызове exec(). Начиная с UNIX V7 оба списка стали оканчиваться NULL.
Данная программа запускается второй программой, представленной ниже. Она просто выводит свои параметры командной строки по одному на строку.
/* myecho.c */
#include <stdio.h>
#include <stdlib.h>
int
main(int argc, char *argv[])
{
int j;
for (j = 0; j < argc; j++)
printf("argv[%d]: %s\n", j, argv[j]);
exit(EXIT_SUCCESS);
}
Эта программа может использоваться для запуска программы, чьё имя указано в параметре командной строки.
/* execve.c */
#include <stdio.h>
#include <stdlib.h>
#include <unistd.h>
int
main(int argc, char *argv[])
{
char *newargv[] = { NULL, "hello", "world", NULL };
char *newenviron[] = { NULL };
if (argc != 2) {
fprintf(stderr, "Использование: %s <file-to-exec>\n", argv[0]);
exit(EXIT_FAILURE);
}
newargv[0] = argv[1];
execve(argv[1], newargv, newenviron);
perror("execve"); /* execve() возвращается только при ошибке */
exit(EXIT_FAILURE);
}
Мы можем использовать вторую программу для запуска первой:
$ cc myecho.c -o myecho $ cc execve.c -o execve $ ./execve ./myecho argv[0]: ./myecho argv[1]: hello argv[2]: world
Также мы можем использовать эти программы для демонстрации использования интерпретатора сценариев. Для этого создадим сценарий, чей "интерпретатор" указывает на нашу программу myecho:
$ cat > script #!./myecho script-arg ^D $ chmod +x script
Теперь мы можем использовать нашу программу для запуска сценария:
$ ./execve ./script argv[0]: ./myecho argv[1]: script-arg argv[2]: ./script argv[3]: hello argv[4]: world
chmod(2), execveat(2), fork(2), get_robust_list(2), ptrace(2), exec(3), fexecve(3), getopt(3), system(3), credentials(7), environ(7), path_resolution(7), ld.so(8)
| 2018-04-30 | Linux |