Как закрыть все файлы и порты от родительского процесса

Вопрос или проблема

У меня есть HTTP-сервер (исходный код недоступен и в данный момент не может быть заменен), работающий на моей машине с Linux, который можно настроить для выполнения любых команд по запросу. Однако HTTP-сервер не закрывает все свои файлы и сокеты перед выполнением внешней команды, что приводит к непредсказуемому поведению внешней программы (например, она начинает прослушивать порт :80). Есть ли способ вручную закрыть эти файлы и сокеты, а затем запустить внешнюю программу? Или обернуть программу в оболочку, которая сделает что-то для их закрытия?

Ответ или решение

Закрытие всех файлов и портов от родительского процесса в операционной системе Linux является важной задачей, особенно когда дело касается работы с HTTP-сервером и запуском внешних программ. Поскольку вы не можете изменить исходный код сервера, необходимо использовать подходы, которые позволяют обойти данное ограничение.

Краткий обзор ситуации

Вы имеете дело с HTTP-сервером, который запускает внешние команды, но не закрывает все свои файловые дескрипторы и сокеты. Это может приводить к нежелательному поведению внешних программ, особенно если они пытаются захватить привилегированные порты, такие как 80.

Решение проблемы

1. Использование команды prctl:
   Если ваше серверное приложение запускается как одно из процессов, и вы имеете возможность работать с его задачами в Linux, вы можете использовать системный вызов prctl для установки контроля над его файловыми дескрипторами. Например, если у вас есть возможность вызвать prctl(PR_SET_NO_NEW_FDS), это позволит ограничить создание новых файловых дескрипторов. Однако это лишь ограничит создание новых дескрипторов, существующие по-прежнему остаются открытыми.

2. Завершение процесса:
   Самый простой способ — это завершить HTTP-сервер, чтобы освободить все открытые порты и файлы, после чего запустить внешнюю программу. Это подходит в том случае, если сервер не требует постоянной работы. Используйте команду:

   kill -9 <PID>

   где <PID> — это идентификатор процесса вашего HTTP-сервера.

3. Перенаправление файловых дескрипторов:
   Использовать оболочку, чтобы перенаправить файловые дескрипторы в /dev/null перед запуском программы. Например, воспользуйтесь следующей конструкцией:

   { command 3>&1 4>&2; } 0<&3 1<&4 2>&4 | my_external_program

   Этот подход обеспечивает, что ввод и вывод внешней программы будут перенаправлены.

4. Запуск в изолированном окружении:
   Использование контейнеров, таких как Docker или systemd-nspawn, может стать идеальным решением. Эта методология позволяет запускать ваше приложение в абсолютно изолированном окружении, без доступа к родительским дескрипторам и сетевым сокетам.

   Пример базовой команды Docker:

   docker run --rm -it my_external_program

5. Использование nohup:
   Если необходимо запустить вашу программу в фоновом режиме без зависимости от терминала, вы можете рассмотреть использование nohup:

   nohup my_external_program &

   Однако будьте осторожны: это не закроет открытые сокеты и директории вашего сервера, поэтому может быть эффективным только в некоторых обстоятельствах.

Заключение

Решение задачи снижения влияния открытых файловых дескрипторов и сокетов на выполнение внешней программы требует несколько методов, включая, но не ограничиваясь завершением процесса, перенаправлением файловых дескрипторов, изоляцией среды и использованием вспомогательных команд оболочки. Выбор метода зависит от вашего конкретного сценария использования и доступных ресурсов.

Важно всегда тестировать окружающую среду в безопасных условиях, чтобы убедиться, что предложенные решения не нарушают стабильность или безопасность вашего сервиса.