Вопрос или проблема
Объяснение на
http://man7.org/linux/man-pages/man2/open.2.html
о том, почему openat необходим, читается, в частности:
openat() позволяет приложению избежать условий гонки, которые
могут возникнуть при использовании open() для открытия файлов в директориях,
отличных от текущей рабочей директории. Эти условия гонки возникают из-за
того, что какой-то компонент префикса директории, переданного в open()
может быть изменен параллельно с вызовом open(). Предположим, например, что мы
хотим создать файл path/to/xxx.dep, если файл path/to/xxx существует.
Проблема в том, что между проверкой существования и этапом создания файла,
path или to (которые могут быть символическими ссылками) могут быть изменены
так, чтобы указывать на другое место.
Я не понимаю, почему эта гонка является проблемой. Если приложение хочет проверить существование какого-то файла и, если да, создать другой файл, то, конечно, это две стадии, и приложение должно и может убедиться, что ничто не мешает между ними. Только если один вызов open() может вызвать условие гонки, может понадобиться какой-то другой системный вызов, например openat(). В противном случае это не задача системных вызовов, а ответственность приложения.
Что я здесь не понимаю?
Гонка относится только к файлам, которые не находятся в текущей директории.
Относительный путь, который вы передаете в openat(), может содержать символическую ссылку,
которая указывает на другую директорию, чем та, которую вы ожидаете.
Если вы используете только open() с файлами в текущей директории (после того, как убедитесь, что вы находитесь там, где хотите быть), вы избегаете этой проблемы.
Похожий сценарий таков:
Предположим, вы хотите открыть и записать файл /tmp/adc/def.txt,
поэтому вы используете open. Сначала вы проверяете, что def.txt
не существует в /tmp/adc/, и решаете создать его. Однако между этой
проверкой и созданием файла другой процесс удаляет /tmp/adc/ и
заменяет его символической ссылкой, указывающей /tmp/adc/ на небезопасную
директорию (с правами rwx------). В результате вы создаете файл
не в том месте. Использование openat может предотвратить эту проблему.
Ответ или решение
Почему openat() необходим для избежания гонок между вызовами stat и open()
В сфере разработки программного обеспечения, особенно в контексте системного программирования и работы с файловыми системами, существует ряд нюансов, касающихся взаимодействия с файлами и каталогами. Одной из таких проблем является гонка условий, возникающая при использовании двухступенчатого подхода для проверки существования файла с последующим его открытием или созданием. В этом контексте важную роль играет функция openat().
Проблема гонок
Гонка возникает, когда два или более процессов или потоков могут модифицировать одни и те же ресурсы, что приводит к непредсказуемым результатам. Рассмотрим типичную ситуацию, когда приложение выполняет последовательные действия: сначала оно проверяет, существует ли файл, а затем, если файл существует, пытается создать новый файл с тем же именем или в том же каталоге.
Для объяснения ситуации, представим следующий сценарий:
- Программа вызывает
stat(path/to/xxx)для проверки существования файла. - На этом этапе другой процесс или поток может удалить
path/to/xxxили изменить путь, к которому указываетpath/to, на поддельный или небезопасный путь (например, символическую ссылку на нежелательную директорию). - Затем программа вызывает
open(path/to/xxx.dep)в попытке создать новый файл.
Таким образом, существует риск, что файл, который приложение намеревалось создать, окажется в неожиданном и небезопасном месте благодаря вмешательству другого процесса.
Решение с использованием openat()
Функция openat() была введена для устранения таких проблем. Она позволяет программам работать с относительными путями, используя дескрипторы каталогов. Вместо того чтобы выполнять две отдельные операции, openat() объединяет их в одну атомарную операцию, которая:
- Проверяет файл по заданному пути;
- Открывает файл (или создает его) непосредственно в контексте указанного каталога.
Когда приложение использует openat(), оно передает дескриптор каталога, к которому должно относиться данное действие. Система гарантирует, что все разрешения и расположения будут проверены с учетом контекста этого каталога, тем самым исключая возможность вмешательства со стороны других процессов.
Пример использования
Рассмотрим пример:
int dirfd = open("/tmp/adc", O_RDONLY); // открываем каталог
if (dirfd < 0) {
perror("ошибка при открытии каталога");
return;
}
int fd = openat(dirfd, "def.txt", O_WRONLY | O_CREAT, 0644);
if (fd < 0) {
perror("ошибка при открытии файла");
close(dirfd);
return;
}
// работа с файлом...
close(fd);
close(dirfd);В этом коде, даже если между проверкой наличия def.txt и созданием файла произойдет изменение /tmp/adc на другую локацию, использование openat() гарантирует, что все операции выполняются в контексте dirfd, а не текущего рабочего каталога.
Заключение
В результате использование openat() становится не просто улучшением, а необходимостью в ситуациях, где происходит взаимодействие с файловой системой, особенно в многопоточных и многопроцессных средах. Это решение минимизирует риск гонок, обеспечивая корректное и безопасное открытие файлов с учетом контекста каталогов. Таким образом, openat() представляет собой более безопасный и надежный способ управления файлами, устраняя проблемы, возникающие из-за промежуточных операций, таких какstat() и open().