共享内存的访问控制

Question

我想这个问题是针对 Linux/Unix 系统编程专家的（不幸的是我还不是那种人；））。

我正在构建一个在 Linux/Unix 多核机器上运行的系统，其中进程通过共享内存相互通信（速度很重要 - 尽可能减少对内核的调用）。 当一个进程请求与另一个进程通信时，会动态创建用于通信的共享内存“通道” - 每个进程都有一个侦听线程，该线程正在接收并“接受”这些请求，然后创建/初始化共享内存通道。对于进程a和b，创建两个通道（共享内存区域） - 一个通道用作a的“输出”和“输入” " 到 b ，反之亦然。

创建通信通道时，进程 a 必须对其相应的“输出”通道具有 R/W 访问权限，并且对其相应的“输入”通道仅具有 R 访问权限。其他进程必须无法获得对其他进程对之间共享的通道的 W 访问权限（最好它们甚至不应该具有 R 访问权限）。

您能建议什么解决方案？

我正在考虑：

1. 定义我自己的系统调用（目前不优选）
2. 使用文件系统固有的文件权限来

来强加此访问权限对于第二个解决方案，想法是在不同的用户ID下运行进程并使用动态创建为每个进程对进行分组，并相应地为每个共享内存描述符分配文件权限（R 为组，R/W 为写入进程，- 为其余进程）。

第二种方案可行吗？是否有更好的解决方案（例如，涉及一些我不知道的系统调用）？

非常感谢您的时间和帮助。

Answer 1

您不能使用组来执行此操作，因为无法将补充组添加到已经运行的进程中。然而，基于用户的机制可以正常工作。

每个进程都在其自己的 uid 下运行。为了创建共享内存通道，发送端使用shm_open()创建一个共享内存对象，并指定O_RDWR | O_CREAT | O_EXCL 和模式 0600。因此，它是唯一打开的进程，并且只有其 uid 才允许打开它。然后，发送方打开同一共享内存段的第二个文件描述符，这次使用 O_RDONLY。它通过 unix 域套接字使用 SCM_RIGHTS 消息将第二个只读文件描述符发送到接收进程。然后它可以关闭只读文件描述符。

发送进程和接收进程然后mmap()共享内存。接收进程具有只读访问权限，并且无权将其升级为读写权限。其他进程根本无法打开它。