如何通过命名管道传输文件描述符

Question

我的目标是为守护进程创建一个概念，这些守护进程在本地（即不通过网络）与其他进程交互，所有进程都具有不同的用户 ID/权限。

为了将守护进程的访问权限限制为具有正确访问级别的进程，我采用了以下概念：

• 每个守护进程打开一个命名管道以读取/foo/{daemon-name}
• 可以通过正常的文件访问权限轻松管理对该命名管道的访问，因此不在正确用户组中的其他进程将没有对该管道的写访问权限
• 稍后更改对守护程序的访问权限很容易完成，无需重新编译
• 想要与守护进程通信的进程通过命名管道发送socketpair() 的一端，然后通过该链接继续通信

这样，每个守护进程都可以实现自己的 API 或数据包格式以通过套接字对进行通信。但是不需要身份验证等，因为对命名管道的访问权限已经处理了只有特定组能够发送套接字对进行通信。

现在我唯一的问题是我无法通过命名管道传输socketpair() 文件描述符。 sendmsg() 显然不适用于命名管道。

如何通过命名管道发送socketpair() fds 之一，以便守护程序可以访问连接并开始通信？

Answer 1

命名管道无法满足您的需求 - 管道不会保留有关其中数据来自何处的信息。它是原始数据位的管道，而不是像套接字那样保留更多关于数据来自何处和去向的信息的连接。

Unix 域套接字和命名管道不一样——它们有不同的功能。 Unix 域套接字可用于在进程之间发送文件描述符，而命名管道则不能。 为什么他们以这种方式实施是另一个问题。

由于您尝试在守护进程和客户端进程之间创建套接字连接，因此只需使用 Unix 域套接字直接获得这样的连接。文件系统权限适用于 Unix 域套接字，就像它们适用于命名管道一样。