xref: /unit/src/nxt_process.c (revision 78)
10Sigor@sysoev.ru 
20Sigor@sysoev.ru /*
30Sigor@sysoev.ru  * Copyright (C) Igor Sysoev
40Sigor@sysoev.ru  * Copyright (C) NGINX, Inc.
50Sigor@sysoev.ru  */
60Sigor@sysoev.ru 
70Sigor@sysoev.ru #include <nxt_main.h>
820Sigor@sysoev.ru #include <nxt_master_process.h>
90Sigor@sysoev.ru 
100Sigor@sysoev.ru 
1120Sigor@sysoev.ru static void nxt_process_start(nxt_task_t *task, nxt_process_init_t *process);
1220Sigor@sysoev.ru static nxt_int_t nxt_user_groups_get(nxt_task_t *task, nxt_user_cred_t *uc);
130Sigor@sysoev.ru 
140Sigor@sysoev.ru 
150Sigor@sysoev.ru /* A cached process pid. */
160Sigor@sysoev.ru nxt_pid_t  nxt_pid;
170Sigor@sysoev.ru 
180Sigor@sysoev.ru /* An original parent process pid. */
190Sigor@sysoev.ru nxt_pid_t  nxt_ppid;
200Sigor@sysoev.ru 
210Sigor@sysoev.ru 
220Sigor@sysoev.ru nxt_pid_t
23*78Smax.romanov@nginx.com nxt_process_create(nxt_task_t *task, nxt_process_t *process)
240Sigor@sysoev.ru {
25*78Smax.romanov@nginx.com     nxt_pid_t      pid;
26*78Smax.romanov@nginx.com     nxt_runtime_t  *rt;
27*78Smax.romanov@nginx.com 
28*78Smax.romanov@nginx.com     rt = task->thread->runtime;
290Sigor@sysoev.ru 
300Sigor@sysoev.ru     pid = fork();
310Sigor@sysoev.ru 
320Sigor@sysoev.ru     switch (pid) {
330Sigor@sysoev.ru 
340Sigor@sysoev.ru     case -1:
3520Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "fork() failed while creating \"%s\" %E",
36*78Smax.romanov@nginx.com                 process->init->name, nxt_errno);
370Sigor@sysoev.ru         break;
380Sigor@sysoev.ru 
390Sigor@sysoev.ru     case 0:
400Sigor@sysoev.ru         /* A child. */
410Sigor@sysoev.ru         nxt_pid = getpid();
420Sigor@sysoev.ru 
430Sigor@sysoev.ru         /* Clean inherited cached thread tid. */
4420Sigor@sysoev.ru         task->thread->tid = 0;
450Sigor@sysoev.ru 
46*78Smax.romanov@nginx.com         process->pid = nxt_pid;
47*78Smax.romanov@nginx.com         process->init->port->pid = nxt_pid;
48*78Smax.romanov@nginx.com 
49*78Smax.romanov@nginx.com         nxt_runtime_process_add(rt, process);
50*78Smax.romanov@nginx.com 
51*78Smax.romanov@nginx.com         nxt_process_start(task, process->init);
520Sigor@sysoev.ru         break;
530Sigor@sysoev.ru 
540Sigor@sysoev.ru     default:
550Sigor@sysoev.ru         /* A parent. */
56*78Smax.romanov@nginx.com         nxt_debug(task, "fork(\"%s\"): %PI", process->init->name, pid);
57*78Smax.romanov@nginx.com 
58*78Smax.romanov@nginx.com         process->pid = pid;
59*78Smax.romanov@nginx.com         process->init->port->pid = pid;
60*78Smax.romanov@nginx.com 
61*78Smax.romanov@nginx.com         nxt_runtime_process_add(rt, process);
62*78Smax.romanov@nginx.com 
630Sigor@sysoev.ru         break;
640Sigor@sysoev.ru     }
650Sigor@sysoev.ru 
660Sigor@sysoev.ru     return pid;
670Sigor@sysoev.ru }
680Sigor@sysoev.ru 
690Sigor@sysoev.ru 
7020Sigor@sysoev.ru static void
7120Sigor@sysoev.ru nxt_process_start(nxt_task_t *task, nxt_process_init_t *process)
7220Sigor@sysoev.ru {
7320Sigor@sysoev.ru     nxt_int_t                    ret;
7420Sigor@sysoev.ru     nxt_thread_t                 *thread;
7520Sigor@sysoev.ru     nxt_runtime_t                *rt;
7620Sigor@sysoev.ru     nxt_event_engine_t           *engine;
7720Sigor@sysoev.ru     const nxt_event_interface_t  *interface;
7820Sigor@sysoev.ru 
7920Sigor@sysoev.ru     nxt_log(task, NXT_LOG_INFO, "%s started", process->name);
8020Sigor@sysoev.ru 
8120Sigor@sysoev.ru     nxt_process_title(task, "nginext: %s", process->name);
8220Sigor@sysoev.ru 
8320Sigor@sysoev.ru     nxt_random_init(&nxt_random_data);
8420Sigor@sysoev.ru 
8520Sigor@sysoev.ru     if (process->user_cred != NULL && getuid() == 0) {
8620Sigor@sysoev.ru         /* Super-user. */
8720Sigor@sysoev.ru 
8820Sigor@sysoev.ru         ret = nxt_user_cred_set(task, process->user_cred);
8920Sigor@sysoev.ru         if (ret != NXT_OK) {
9020Sigor@sysoev.ru             goto fail;
9120Sigor@sysoev.ru         }
9220Sigor@sysoev.ru     }
9320Sigor@sysoev.ru 
9420Sigor@sysoev.ru     thread = task->thread;
9520Sigor@sysoev.ru     rt = thread->runtime;
9620Sigor@sysoev.ru 
9720Sigor@sysoev.ru     rt->type = process->type;
9820Sigor@sysoev.ru 
9920Sigor@sysoev.ru     engine = thread->engine;
10020Sigor@sysoev.ru 
10120Sigor@sysoev.ru     /* Update inherited master process event engine and signals processing. */
10220Sigor@sysoev.ru     engine->signals->sigev = process->signals;
10320Sigor@sysoev.ru 
10420Sigor@sysoev.ru     interface = nxt_service_get(rt->services, "engine", rt->engine);
10520Sigor@sysoev.ru     if (interface == NULL) {
10620Sigor@sysoev.ru         goto fail;
10720Sigor@sysoev.ru     }
10820Sigor@sysoev.ru 
10920Sigor@sysoev.ru     if (nxt_event_engine_change(engine, interface, rt->batch) != NXT_OK) {
11020Sigor@sysoev.ru         goto fail;
11120Sigor@sysoev.ru     }
11220Sigor@sysoev.ru 
11320Sigor@sysoev.ru     nxt_port_read_close(process->master_port);
11420Sigor@sysoev.ru     nxt_port_write_enable(task, process->master_port);
11520Sigor@sysoev.ru 
11620Sigor@sysoev.ru     /* A worker process port. */
11777Smax.romanov@nginx.com     nxt_port_write_close(process->port);
11877Smax.romanov@nginx.com     nxt_port_create(task, process->port, process->port_handlers);
11920Sigor@sysoev.ru 
12020Sigor@sysoev.ru     ret = nxt_runtime_thread_pool_create(thread, rt, rt->auxiliary_threads,
12120Sigor@sysoev.ru                                          60000 * 1000000LL);
12220Sigor@sysoev.ru     if (ret != NXT_OK) {
12320Sigor@sysoev.ru         goto fail;
12420Sigor@sysoev.ru     }
12520Sigor@sysoev.ru 
12620Sigor@sysoev.ru     ret = process->start(task, rt);
12720Sigor@sysoev.ru 
12820Sigor@sysoev.ru     if (ret == NXT_OK) {
12920Sigor@sysoev.ru         return;
13020Sigor@sysoev.ru     }
13120Sigor@sysoev.ru 
13220Sigor@sysoev.ru fail:
13320Sigor@sysoev.ru 
13420Sigor@sysoev.ru     exit(1);
13520Sigor@sysoev.ru }
13620Sigor@sysoev.ru 
13720Sigor@sysoev.ru 
1380Sigor@sysoev.ru #if (NXT_HAVE_POSIX_SPAWN)
1390Sigor@sysoev.ru 
1400Sigor@sysoev.ru /*
1410Sigor@sysoev.ru  * Linux glibc 2.2 posix_spawn() is implemented via fork()/execve().
1420Sigor@sysoev.ru  * Linux glibc 2.4 posix_spawn() without file actions and spawn
1430Sigor@sysoev.ru  * attributes uses vfork()/execve().
1440Sigor@sysoev.ru  *
1450Sigor@sysoev.ru  * On FreeBSD 8.0 posix_spawn() is implemented via vfork()/execve().
1460Sigor@sysoev.ru  *
1470Sigor@sysoev.ru  * Solaris 10:
1480Sigor@sysoev.ru  *   In the Solaris 10 OS, posix_spawn() is currently implemented using
1490Sigor@sysoev.ru  *   private-to-libc vfork(), execve(), and exit() functions.  They are
1500Sigor@sysoev.ru  *   identical to regular vfork(), execve(), and exit() in functionality,
1510Sigor@sysoev.ru  *   but they are not exported from libc and therefore don't cause the
1520Sigor@sysoev.ru  *   deadlock-in-the-dynamic-linker problem that any multithreaded code
1530Sigor@sysoev.ru  *   outside of libc that calls vfork() can cause.
1540Sigor@sysoev.ru  *
1550Sigor@sysoev.ru  * On MacOSX 10.5 (Leoprad) and NetBSD 6.0 posix_spawn() is implemented
1560Sigor@sysoev.ru  * as syscall.
1570Sigor@sysoev.ru  */
1580Sigor@sysoev.ru 
1590Sigor@sysoev.ru nxt_pid_t
16020Sigor@sysoev.ru nxt_process_execute(nxt_task_t *task, char *name, char **argv, char **envp)
1610Sigor@sysoev.ru {
1620Sigor@sysoev.ru     nxt_pid_t  pid;
1630Sigor@sysoev.ru 
16420Sigor@sysoev.ru     nxt_debug(task, "posix_spawn(\"%s\")", name);
1650Sigor@sysoev.ru 
1660Sigor@sysoev.ru     if (posix_spawn(&pid, name, NULL, NULL, argv, envp) != 0) {
16720Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "posix_spawn(\"%s\") failed %E",
16820Sigor@sysoev.ru                 name, nxt_errno);
1690Sigor@sysoev.ru         return -1;
1700Sigor@sysoev.ru     }
1710Sigor@sysoev.ru 
1720Sigor@sysoev.ru     return pid;
1730Sigor@sysoev.ru }
1740Sigor@sysoev.ru 
1750Sigor@sysoev.ru #else
1760Sigor@sysoev.ru 
1770Sigor@sysoev.ru nxt_pid_t
17820Sigor@sysoev.ru nxt_process_execute(nxt_task_t *task, char *name, char **argv, char **envp)
1790Sigor@sysoev.ru {
1800Sigor@sysoev.ru     nxt_pid_t  pid;
1810Sigor@sysoev.ru 
1820Sigor@sysoev.ru     /*
1830Sigor@sysoev.ru      * vfork() is better than fork() because:
1840Sigor@sysoev.ru      *   it is faster several times;
1850Sigor@sysoev.ru      *   its execution time does not depend on private memory mapping size;
1860Sigor@sysoev.ru      *   it has lesser chances to fail due to the ENOMEM error.
1870Sigor@sysoev.ru      */
1880Sigor@sysoev.ru 
1890Sigor@sysoev.ru     pid = vfork();
1900Sigor@sysoev.ru 
1910Sigor@sysoev.ru     switch (pid) {
1920Sigor@sysoev.ru 
1930Sigor@sysoev.ru     case -1:
19420Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "vfork() failed while executing \"%s\" %E",
19520Sigor@sysoev.ru                 name, nxt_errno);
1960Sigor@sysoev.ru         break;
1970Sigor@sysoev.ru 
1980Sigor@sysoev.ru     case 0:
1990Sigor@sysoev.ru         /* A child. */
20020Sigor@sysoev.ru         nxt_debug(task, "execve(\"%s\")", name);
2010Sigor@sysoev.ru 
2020Sigor@sysoev.ru         (void) execve(name, argv, envp);
2030Sigor@sysoev.ru 
20420Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "execve(\"%s\") failed %E",
20520Sigor@sysoev.ru                 name, nxt_errno);
2060Sigor@sysoev.ru 
2070Sigor@sysoev.ru         exit(1);
20820Sigor@sysoev.ru         nxt_unreachable();
2090Sigor@sysoev.ru         break;
2100Sigor@sysoev.ru 
2110Sigor@sysoev.ru     default:
2120Sigor@sysoev.ru         /* A parent. */
21320Sigor@sysoev.ru         nxt_debug(task, "vfork(): %PI", pid);
2140Sigor@sysoev.ru         break;
2150Sigor@sysoev.ru     }
2160Sigor@sysoev.ru 
2170Sigor@sysoev.ru     return pid;
2180Sigor@sysoev.ru }
2190Sigor@sysoev.ru 
2200Sigor@sysoev.ru #endif
2210Sigor@sysoev.ru 
2220Sigor@sysoev.ru 
2230Sigor@sysoev.ru nxt_int_t
22420Sigor@sysoev.ru nxt_process_daemon(nxt_task_t *task)
2250Sigor@sysoev.ru {
2260Sigor@sysoev.ru     nxt_fd_t      fd;
2270Sigor@sysoev.ru     nxt_pid_t     pid;
2280Sigor@sysoev.ru     const char    *msg;
2290Sigor@sysoev.ru 
2300Sigor@sysoev.ru     /*
2310Sigor@sysoev.ru      * fork() followed by a parent process's exit() detaches a child process
2320Sigor@sysoev.ru      * from an init script or terminal shell process which has started the
2330Sigor@sysoev.ru      * parent process and allows the child process to run in background.
2340Sigor@sysoev.ru      */
2350Sigor@sysoev.ru 
2360Sigor@sysoev.ru     pid = fork();
2370Sigor@sysoev.ru 
2380Sigor@sysoev.ru     switch (pid) {
2390Sigor@sysoev.ru 
2400Sigor@sysoev.ru     case -1:
2410Sigor@sysoev.ru         msg = "fork() failed %E";
2420Sigor@sysoev.ru         goto fail;
2430Sigor@sysoev.ru 
2440Sigor@sysoev.ru     case 0:
2450Sigor@sysoev.ru         /* A child. */
2460Sigor@sysoev.ru         break;
2470Sigor@sysoev.ru 
2480Sigor@sysoev.ru     default:
2490Sigor@sysoev.ru         /* A parent. */
25020Sigor@sysoev.ru         nxt_debug(task, "fork(): %PI", pid);
2510Sigor@sysoev.ru         exit(0);
2520Sigor@sysoev.ru         nxt_unreachable();
2530Sigor@sysoev.ru     }
2540Sigor@sysoev.ru 
2550Sigor@sysoev.ru     nxt_pid = getpid();
2560Sigor@sysoev.ru 
2570Sigor@sysoev.ru     /* Clean inherited cached thread tid. */
25820Sigor@sysoev.ru     task->thread->tid = 0;
2590Sigor@sysoev.ru 
26020Sigor@sysoev.ru     nxt_debug(task, "daemon");
2610Sigor@sysoev.ru 
2620Sigor@sysoev.ru     /* Detach from controlling terminal. */
2630Sigor@sysoev.ru 
2640Sigor@sysoev.ru     if (setsid() == -1) {
26520Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "setsid() failed %E", nxt_errno);
2660Sigor@sysoev.ru         return NXT_ERROR;
2670Sigor@sysoev.ru     }
2680Sigor@sysoev.ru 
2690Sigor@sysoev.ru     /*
2700Sigor@sysoev.ru      * Reset file mode creation mask: any access
2710Sigor@sysoev.ru      * rights can be set on file creation.
2720Sigor@sysoev.ru      */
2730Sigor@sysoev.ru     umask(0);
2740Sigor@sysoev.ru 
2750Sigor@sysoev.ru     /* Redirect STDIN and STDOUT to the "/dev/null". */
2760Sigor@sysoev.ru 
2770Sigor@sysoev.ru     fd = open("/dev/null", O_RDWR);
2780Sigor@sysoev.ru     if (fd == -1) {
2790Sigor@sysoev.ru         msg = "open(\"/dev/null\") failed %E";
2800Sigor@sysoev.ru         goto fail;
2810Sigor@sysoev.ru     }
2820Sigor@sysoev.ru 
2830Sigor@sysoev.ru     if (dup2(fd, STDIN_FILENO) == -1) {
2840Sigor@sysoev.ru         msg = "dup2(\"/dev/null\", STDIN) failed %E";
2850Sigor@sysoev.ru         goto fail;
2860Sigor@sysoev.ru     }
2870Sigor@sysoev.ru 
2880Sigor@sysoev.ru     if (dup2(fd, STDOUT_FILENO) == -1) {
2890Sigor@sysoev.ru         msg = "dup2(\"/dev/null\", STDOUT) failed %E";
2900Sigor@sysoev.ru         goto fail;
2910Sigor@sysoev.ru     }
2920Sigor@sysoev.ru 
2930Sigor@sysoev.ru     if (fd > STDERR_FILENO) {
2940Sigor@sysoev.ru         nxt_fd_close(fd);
2950Sigor@sysoev.ru     }
2960Sigor@sysoev.ru 
2970Sigor@sysoev.ru     return NXT_OK;
2980Sigor@sysoev.ru 
2990Sigor@sysoev.ru fail:
3000Sigor@sysoev.ru 
30120Sigor@sysoev.ru     nxt_log(task, NXT_LOG_CRIT, msg, nxt_errno);
3020Sigor@sysoev.ru 
3030Sigor@sysoev.ru     return NXT_ERROR;
3040Sigor@sysoev.ru }
3050Sigor@sysoev.ru 
3060Sigor@sysoev.ru 
3070Sigor@sysoev.ru void
3080Sigor@sysoev.ru nxt_nanosleep(nxt_nsec_t ns)
3090Sigor@sysoev.ru {
3100Sigor@sysoev.ru     struct timespec  ts;
3110Sigor@sysoev.ru 
3120Sigor@sysoev.ru     ts.tv_sec = ns / 1000000000;
3130Sigor@sysoev.ru     ts.tv_nsec = ns % 1000000000;
3140Sigor@sysoev.ru 
3150Sigor@sysoev.ru     (void) nanosleep(&ts, NULL);
3160Sigor@sysoev.ru }
3170Sigor@sysoev.ru 
3180Sigor@sysoev.ru 
3190Sigor@sysoev.ru nxt_int_t
32020Sigor@sysoev.ru nxt_user_cred_get(nxt_task_t *task, nxt_user_cred_t *uc, const char *group)
3210Sigor@sysoev.ru {
3220Sigor@sysoev.ru     struct group   *grp;
3230Sigor@sysoev.ru     struct passwd  *pwd;
3240Sigor@sysoev.ru 
3250Sigor@sysoev.ru     pwd = getpwnam(uc->user);
3260Sigor@sysoev.ru 
3270Sigor@sysoev.ru     if (nxt_slow_path(pwd == NULL)) {
32820Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "getpwnam(%s) failed %E",
32920Sigor@sysoev.ru                 uc->user, nxt_errno);
3300Sigor@sysoev.ru         return NXT_ERROR;
3310Sigor@sysoev.ru     }
3320Sigor@sysoev.ru 
3330Sigor@sysoev.ru     uc->uid = pwd->pw_uid;
3340Sigor@sysoev.ru     uc->base_gid = pwd->pw_gid;
3350Sigor@sysoev.ru 
3360Sigor@sysoev.ru     if (group != NULL) {
3370Sigor@sysoev.ru         grp = getgrnam(group);
3380Sigor@sysoev.ru 
3390Sigor@sysoev.ru         if (nxt_slow_path(grp == NULL)) {
34020Sigor@sysoev.ru             nxt_log(task, NXT_LOG_CRIT, "getgrnam(%s) failed %E",
34120Sigor@sysoev.ru                     group, nxt_errno);
3420Sigor@sysoev.ru             return NXT_ERROR;
3430Sigor@sysoev.ru         }
3440Sigor@sysoev.ru 
3450Sigor@sysoev.ru         uc->base_gid = grp->gr_gid;
3460Sigor@sysoev.ru     }
3470Sigor@sysoev.ru 
3480Sigor@sysoev.ru     if (getuid() == 0) {
34920Sigor@sysoev.ru         return nxt_user_groups_get(task, uc);
3500Sigor@sysoev.ru     }
3510Sigor@sysoev.ru 
3520Sigor@sysoev.ru     return NXT_OK;
3530Sigor@sysoev.ru }
3540Sigor@sysoev.ru 
3550Sigor@sysoev.ru 
3560Sigor@sysoev.ru /*
3570Sigor@sysoev.ru  * nxt_user_groups_get() stores an array of groups IDs which should be
3580Sigor@sysoev.ru  * set by the initgroups() function for a given user.  The initgroups()
3590Sigor@sysoev.ru  * may block a just forked worker process for some time if LDAP or NDIS+
3600Sigor@sysoev.ru  * is used, so nxt_user_groups_get() allows to get worker user groups in
3610Sigor@sysoev.ru  * master process.  In a nutshell the initgroups() calls getgrouplist()
3620Sigor@sysoev.ru  * followed by setgroups().  However Solaris lacks the getgrouplist().
3630Sigor@sysoev.ru  * Besides getgrouplist() does not allow to query the exact number of
3640Sigor@sysoev.ru  * groups while NGROUPS_MAX can be quite large (e.g. 65536 on Linux).
3650Sigor@sysoev.ru  * So nxt_user_groups_get() emulates getgrouplist(): at first the function
3660Sigor@sysoev.ru  * saves the super-user groups IDs, then calls initgroups() and saves the
3670Sigor@sysoev.ru  * specified user groups IDs, and then restores the super-user groups IDs.
3680Sigor@sysoev.ru  * This works at least on Linux, FreeBSD, and Solaris, but does not work
3690Sigor@sysoev.ru  * on MacOSX, getgroups(2):
3700Sigor@sysoev.ru  *
3710Sigor@sysoev.ru  *   To provide compatibility with applications that use getgroups() in
3720Sigor@sysoev.ru  *   environments where users may be in more than {NGROUPS_MAX} groups,
3730Sigor@sysoev.ru  *   a variant of getgroups(), obtained when compiling with either the
3740Sigor@sysoev.ru  *   macros _DARWIN_UNLIMITED_GETGROUPS or _DARWIN_C_SOURCE defined, can
3750Sigor@sysoev.ru  *   be used that is not limited to {NGROUPS_MAX} groups.  However, this
3760Sigor@sysoev.ru  *   variant only returns the user's default group access list and not
3770Sigor@sysoev.ru  *   the group list modified by a call to setgroups(2).
3780Sigor@sysoev.ru  *
3790Sigor@sysoev.ru  * For such cases initgroups() is used in worker process as fallback.
3800Sigor@sysoev.ru  */
3810Sigor@sysoev.ru 
3820Sigor@sysoev.ru static nxt_int_t
38320Sigor@sysoev.ru nxt_user_groups_get(nxt_task_t *task, nxt_user_cred_t *uc)
3840Sigor@sysoev.ru {
3850Sigor@sysoev.ru     int        nsaved, ngroups;
3860Sigor@sysoev.ru     nxt_int_t  ret;
3870Sigor@sysoev.ru     nxt_gid_t  *saved;
3880Sigor@sysoev.ru 
3890Sigor@sysoev.ru     nsaved = getgroups(0, NULL);
3900Sigor@sysoev.ru 
3910Sigor@sysoev.ru     if (nsaved == -1) {
39220Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "getgroups(0, NULL) failed %E", nxt_errno);
3930Sigor@sysoev.ru         return NXT_ERROR;
3940Sigor@sysoev.ru     }
3950Sigor@sysoev.ru 
39620Sigor@sysoev.ru     nxt_debug(task, "getgroups(0, NULL): %d", nsaved);
3970Sigor@sysoev.ru 
3980Sigor@sysoev.ru     if (nsaved > NGROUPS_MAX) {
3990Sigor@sysoev.ru         /* MacOSX case. */
4000Sigor@sysoev.ru         return NXT_OK;
4010Sigor@sysoev.ru     }
4020Sigor@sysoev.ru 
4030Sigor@sysoev.ru     saved = nxt_malloc(nsaved * sizeof(nxt_gid_t));
4040Sigor@sysoev.ru 
4050Sigor@sysoev.ru     if (saved == NULL) {
4060Sigor@sysoev.ru         return NXT_ERROR;
4070Sigor@sysoev.ru     }
4080Sigor@sysoev.ru 
4090Sigor@sysoev.ru     ret = NXT_ERROR;
4100Sigor@sysoev.ru 
4110Sigor@sysoev.ru     nsaved = getgroups(nsaved, saved);
4120Sigor@sysoev.ru 
4130Sigor@sysoev.ru     if (nsaved == -1) {
41420Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "getgroups(%d) failed %E",
41520Sigor@sysoev.ru                 nsaved, nxt_errno);
4160Sigor@sysoev.ru         goto fail;
4170Sigor@sysoev.ru     }
4180Sigor@sysoev.ru 
41920Sigor@sysoev.ru     nxt_debug(task, "getgroups(): %d", nsaved);
4200Sigor@sysoev.ru 
4210Sigor@sysoev.ru     if (initgroups(uc->user, uc->base_gid) != 0) {
42220Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "initgroups(%s, %d) failed",
4230Sigor@sysoev.ru                              uc->user, uc->base_gid);
4240Sigor@sysoev.ru         goto restore;
4250Sigor@sysoev.ru     }
4260Sigor@sysoev.ru 
4270Sigor@sysoev.ru     ngroups = getgroups(0, NULL);
4280Sigor@sysoev.ru 
4290Sigor@sysoev.ru     if (ngroups == -1) {
43020Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "getgroups(0, NULL) failed %E", nxt_errno);
4310Sigor@sysoev.ru         goto restore;
4320Sigor@sysoev.ru     }
4330Sigor@sysoev.ru 
43420Sigor@sysoev.ru     nxt_debug(task, "getgroups(0, NULL): %d", ngroups);
4350Sigor@sysoev.ru 
4360Sigor@sysoev.ru     uc->gids = nxt_malloc(ngroups * sizeof(nxt_gid_t));
4370Sigor@sysoev.ru 
4380Sigor@sysoev.ru     if (uc->gids == NULL) {
4390Sigor@sysoev.ru         goto restore;
4400Sigor@sysoev.ru     }
4410Sigor@sysoev.ru 
4420Sigor@sysoev.ru     ngroups = getgroups(ngroups, uc->gids);
4430Sigor@sysoev.ru 
4440Sigor@sysoev.ru     if (ngroups == -1) {
44520Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "getgroups(%d) failed %E",
44620Sigor@sysoev.ru                 ngroups, nxt_errno);
4470Sigor@sysoev.ru         goto restore;
4480Sigor@sysoev.ru     }
4490Sigor@sysoev.ru 
4500Sigor@sysoev.ru     uc->ngroups = ngroups;
4510Sigor@sysoev.ru 
4520Sigor@sysoev.ru #if (NXT_DEBUG)
4530Sigor@sysoev.ru     {
4540Sigor@sysoev.ru         u_char      *p, *end;
4550Sigor@sysoev.ru         nxt_uint_t  i;
4560Sigor@sysoev.ru         u_char      msg[NXT_MAX_ERROR_STR];
4570Sigor@sysoev.ru 
4580Sigor@sysoev.ru         p = msg;
4590Sigor@sysoev.ru         end = msg + NXT_MAX_ERROR_STR;
4600Sigor@sysoev.ru 
4610Sigor@sysoev.ru         for (i = 0; i < uc->ngroups; i++) {
4620Sigor@sysoev.ru             p = nxt_sprintf(p, end, "%uL:", (uint64_t) uc->gids[i]);
4630Sigor@sysoev.ru         }
4640Sigor@sysoev.ru 
46520Sigor@sysoev.ru         nxt_debug(task, "user \"%s\" cred: uid:%uL base gid:%uL, gids:%*s",
46620Sigor@sysoev.ru                   uc->user, (uint64_t) uc->uid, (uint64_t) uc->base_gid,
46720Sigor@sysoev.ru                   p - msg, msg);
4680Sigor@sysoev.ru     }
4690Sigor@sysoev.ru #endif
4700Sigor@sysoev.ru 
4710Sigor@sysoev.ru     ret = NXT_OK;
4720Sigor@sysoev.ru 
4730Sigor@sysoev.ru restore:
4740Sigor@sysoev.ru 
4750Sigor@sysoev.ru     if (setgroups(nsaved, saved) != 0) {
47620Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "setgroups(%d) failed %E",
47720Sigor@sysoev.ru                 nsaved, nxt_errno);
4780Sigor@sysoev.ru         ret = NXT_ERROR;
4790Sigor@sysoev.ru     }
4800Sigor@sysoev.ru 
4810Sigor@sysoev.ru fail:
4820Sigor@sysoev.ru 
4830Sigor@sysoev.ru     nxt_free(saved);
4840Sigor@sysoev.ru 
4850Sigor@sysoev.ru     return ret;
4860Sigor@sysoev.ru }
4870Sigor@sysoev.ru 
4880Sigor@sysoev.ru 
4890Sigor@sysoev.ru nxt_int_t
49020Sigor@sysoev.ru nxt_user_cred_set(nxt_task_t *task, nxt_user_cred_t *uc)
4910Sigor@sysoev.ru {
49220Sigor@sysoev.ru     nxt_debug(task, "user cred set: \"%s\" uid:%uL base gid:%uL",
49320Sigor@sysoev.ru               uc->user, (uint64_t) uc->uid, uc->base_gid);
4940Sigor@sysoev.ru 
4950Sigor@sysoev.ru     if (setgid(uc->base_gid) != 0) {
49620Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "setgid(%d) failed %E",
49720Sigor@sysoev.ru                 uc->base_gid, nxt_errno);
4980Sigor@sysoev.ru         return NXT_ERROR;
4990Sigor@sysoev.ru     }
5000Sigor@sysoev.ru 
5010Sigor@sysoev.ru     if (uc->gids != NULL) {
5020Sigor@sysoev.ru         if (setgroups(uc->ngroups, uc->gids) != 0) {
50320Sigor@sysoev.ru             nxt_log(task, NXT_LOG_CRIT, "setgroups(%i) failed %E",
50420Sigor@sysoev.ru                     uc->ngroups, nxt_errno);
5050Sigor@sysoev.ru             return NXT_ERROR;
5060Sigor@sysoev.ru         }
5070Sigor@sysoev.ru 
5080Sigor@sysoev.ru     } else {
5090Sigor@sysoev.ru         /* MacOSX fallback. */
5100Sigor@sysoev.ru         if (initgroups(uc->user, uc->base_gid) != 0) {
51120Sigor@sysoev.ru             nxt_log(task, NXT_LOG_CRIT, "initgroups(%s, %d) failed",
51220Sigor@sysoev.ru                     uc->user, uc->base_gid);
5130Sigor@sysoev.ru             return NXT_ERROR;
5140Sigor@sysoev.ru         }
5150Sigor@sysoev.ru     }
5160Sigor@sysoev.ru 
5170Sigor@sysoev.ru     if (setuid(uc->uid) != 0) {
51820Sigor@sysoev.ru         nxt_log(task, NXT_LOG_CRIT, "setuid(%d) failed %E", uc->uid, nxt_errno);
5190Sigor@sysoev.ru         return NXT_ERROR;
5200Sigor@sysoev.ru     }
5210Sigor@sysoev.ru 
5220Sigor@sysoev.ru     return NXT_OK;
5230Sigor@sysoev.ru }
52442Smax.romanov@nginx.com 
52542Smax.romanov@nginx.com 
52642Smax.romanov@nginx.com nxt_port_t *
52742Smax.romanov@nginx.com nxt_process_port_new(nxt_process_t *process)
52842Smax.romanov@nginx.com {
52942Smax.romanov@nginx.com     nxt_port_t  *port;
53042Smax.romanov@nginx.com 
53165Sigor@sysoev.ru     port = nxt_mp_zalloc(process->mem_pool, sizeof(nxt_port_t));
53242Smax.romanov@nginx.com     if (nxt_fast_path(port != NULL)) {
53342Smax.romanov@nginx.com         port->id = process->last_port_id++;
53442Smax.romanov@nginx.com         port->pid = process->pid;
53542Smax.romanov@nginx.com         port->process = process;
53642Smax.romanov@nginx.com 
53742Smax.romanov@nginx.com         nxt_process_port_add(process, port);
53842Smax.romanov@nginx.com     }
53942Smax.romanov@nginx.com 
54042Smax.romanov@nginx.com     return port;
54142Smax.romanov@nginx.com }
54242Smax.romanov@nginx.com 
543