iptables起動設定

　Debianにてiptablesを起動時に復元するための設定方法を調査した。どうやら、きちんと決められた方法はなく、自分でシェルスクリプトを書く必要があるらしい。 /etc/network/interfacesのpre-upに書くという方法が一番簡単そうだったが、現在のiptablesの設定はインターフェース単位ではないのでその方法はとらず、/etc/init.dにスクリプトを置くという方法をとることにした。

　/etc/init.d配下のシェルスクリプトには決められた様式があり、ひな型としては、/etc/init.d/skeletonがあるが、これはデーモン用のものであるため、とりあえず、/etc/init.d/ifupdownを参考にして、前に作成したSSHのフィルタリングを行うルール(この記事を参照)を設定するように以下のスクリプトmyfirewallを作成した。

#!/bin/sh
### BEGIN INIT INFO
# Provides:          myfirewall
# Required-Start:    
# Required-Stop:     $local_fs
# Default-Start:     S
# Default-Stop:      0 6
# Short-Description: Set firewall.
### END INIT INFO

[ -x /sbin/iptables ] || exit 0

. /lib/lsb/init-functions

MYNAME="${0##*/}"
report() { echo "${MYNAME}: $*" ; }
report_err() { log_failure_msg "$*" ; }
[ -r /etc/default/$MYNAME ] && . /etc/default/$MYNAME

start_firewall () {
  iptables -N SSHEvil
  iptables -N SSH
  iptables -A INPUT -j SSH -p tcp --dport 22

  iptables -A SSHEvil -m recent --name badSSH --set
  iptables -A SSHEvil -j LOG --log-level DEBUG --log-prefix "evil SSH user:"
  iptables -A SSHEvil -j DROP

  iptables -A SSH -j ACCEPT -s 192.168.0.0/24
  iptables -A SSH -p tcp ! --syn -m state --state ESTABLISHED,RELATED -j ACCEPT
  iptables -A SSH -p tcp --syn -m recent --name badSSH --update --seconds 600 -j REJECT
  iptables -A SSH -p tcp --syn -m recent --name conSSH --rcheck --seconds 60 --hitcount 5 -j SSHEvil
  iptables -A SSH -p tcp --syn -m recent --name conSSH --set
  iptables -A SSH -p tcp --syn -j ACCEPT
}

stop_firewall () {
  iptables -F SSHEvil
  iptables -F SSH
  iptables -F INPUT
  iptables -X
}

case "$1" in
  start)
    log_begin_msg "Setting up firewall..."
    start_firewall
    log_end_msg 0
    exit 0
    ;;

  stop)
    log_begin_msg "Stopping firewall..."
    stop_firewall
    log_end_msg 0
    exit 0
    ;;

  restart|force-reload)
    log_begin_msg "Restarting firewall..."
    stop_firewall
    start_firewall
    log_end_msg 0
    exit 0
    ;;

  *)
    echo "Usage: $0 {start|stop|restart|force-reload}" >&2
    exit 3
    ;;
esac

exit 0

　次に実際に起動時にinitに起動してもらうため、必要なランレベルのディレクトリィにリンクを張る必要がある。Debianの/etc/inittabは以下のようになっている。

# The default runlevel.
id:2:initdefault:

# Boot-time system configuration/initialization script.
# This is run first except when booting in emergency (-b) mode.
si::sysinit:/etc/init.d/rcS

# What to do in single-user mode.
~~:S:wait:/sbin/sulogin

# /etc/init.d executes the S and K scripts upon change
# of runlevel.
#
# Runlevel 0 is halt.
# Runlevel 1 is single-user.
# Runlevels 2-5 are multi-user.
# Runlevel 6 is reboot.

l0:0:wait:/etc/init.d/rc 0
l1:1:wait:/etc/init.d/rc 1
l2:2:wait:/etc/init.d/rc 2
l3:3:wait:/etc/init.d/rc 3
l4:4:wait:/etc/init.d/rc 4
l5:5:wait:/etc/init.d/rc 5
l6:6:wait:/etc/init.d/rc 6

Debianではランレベル0がhalt, 6がrebootとなりそれぞれ/etc/rc{0,6}.d/の下のスクリプトが実行される。そして、/etc/rcS.dの下はsysinit、つまりランレベルに関わらず最初に実行されるディレクトリィとなっている。

　基本的にネットワーク起動前にiptablesを設定する必要があるのだが、Debianの場合は起動は以前に調査した結果、/etc/init.d/udev startでeth0が起動し、/etc/init.d/networking stopでeth0が停止することがわかっている(詳細はこの記事参照)。/etc/init.d/udevは/etc/rcS.d/S03udevで開始され、/etc/init.d/networkingは/etc/rc{0,6}.d/S35networkingで停止される。続くS36ifupdownもネットワークに関連するスクリプトであり、状態ファイルの削除を行っているものである。

　通常Sから始まるスクリプトは起動スクリプトであるが、initよりランレベルを引数として実際に起動されている/etc/rcスクリプトを見てみると、以下のようになっている。

(省略)
case "$runlevel" in
  0|6)
    ACTION=stop
    # Count down from 0 to -100 and use the entire bar
    first_step=0
    progress_size=100
    step_change=-1
    ;;
(省略)
# First, run the KILL scripts.
if [ "$previous" != N ]
then
  # Run all scripts with the same level in parallel
  CURLEVEL=""
  for s in /etc/rc$runlevel.d/K*
  do
    level=$(echo $s | sed 's/.*\/K\([0-9][0-9]\).*/\1/')
    if [ "$level" = "$CURLEVEL" ]
    then
      continue
    fi
    CURLEVEL=$level
    SCRIPTS=""
    for i in /etc/rc$runlevel.d/K$level*
    do
      (省略)
      SCRIPTS="$SCRIPTS $i"
    done
    startup stop $SCRIPTS
  done
fi
# Now run the START scripts for this runlevel.
# Run all scripts with the same level in parallel
CURLEVEL=""
for s in /etc/rc$runlevel.d/S*
  do
    level=$(echo $s | sed 's/.*\/S\([0-9][0-9]\).*/\1/')
    if [ "$level" = "$CURLEVEL" ]
    then
      continue
    fi
    CURLEVEL=$level
    SCRIPTS=""
    for i in /etc/rc$runlevel.d/S$level*
    do
      [ ! -f $i ] && continue
      (省略)
      SCRIPTS="$SCRIPTS $i"
    done
    startup $ACTION $SCRIPTS
  done
fi

ランレベル0,6のときは、先頭文字がS,Kに関わらずstopが引数として渡されている。そして、スクリプトの実行順番は、K,Sの順序である。これらの結果より、/etc/rcS.dにS03udevよりも早く/etc/rc{0,6}.dにS36ifupdownより遅くなるように、/etc/rcS.d/S03myfirewallと/etc/rc{0,6}.d/S37myfirewallというリンクを作成すればよいことがわかる。

　Debianではinitスクリプトのリンクを作成するコマンドupdate-rc.dがある。事前に/etc/init.d/配下にスクリプトが存在する必要があるので、上記のmyfirewallを/etc/init.d/へコピーする。update-rc.dコマンドの書式は以下となる。

update-rc.d {スクリプト名} {start | stop} {2桁連番} {runlevel} {.} ...

{start | stop}から{.}までは複数個記述することができる。よって、以下のコマンドを実行すればよい。

$ update-rc.d -n myfirewall start 03 S . start 37 0 6 .
 Adding system startup for /etc/init.d/myfirewall ...
  /etc/rc0.d/S37myfirewall -> ../init.d/myfirewall
  /etc/rc6.d/S37myfirewall -> ../init.d/myfirewall
  /etc/rcS.d/S03myfirewall -> ../init.d/myfirewall

■ 参考資料

Software/iptables - Debian GNU/Linux スレッドテンプレ
Manpage of IPTABLES
Manpage of BASH

getopt

概要

　getoptは主にシェルスクリプトでコマンドオプションを使いやすい形に変形するために使う。いくつか書式があるが、伝統的なgetoptでは以下のように使う。

$getopt optstring parameters

引数はoptstringとparamtersに分かれる。optstringにはオプションと認識する一文字を連続して書く。その文字の最後に:をつけた場合は、そのオプションはパラメータをとるという意味になる。parametersは、解析する引数を書く。

伝統的なコマンド使用例

　例えば ab:cとした場合は、-a -b -cをオプションとして認識し、-bオプションはパラメータをとることになる。出力の順番はオプションと必要があればそのパラメータがすべて出力され、'--'を出力後にどれでもないものが出力される。

$ getopt ab:c -a
-a --

上の例では、parametersが-aオプションのみなので-aと'--'が出力される。

$getopt ab:c -b
getopt: オプションには引数が必要です -- b
--

今度は-bオプションを指定したが、-bオプションには引数が必要となるためエラーとなる。

$ getopt ab:c -b aaa
-b aaa --

上記のように書くと、aaaが-bオプションの引数になるので正常に出力される。

$ getopt ab:c -b aaa -a bbb -c
-b aaa -a -c -- bbb

-aの後にbbbを書くと、-aは引数をとらないのでbbbはオプションでもオプションの引数でもないことになり、--の後ろに出力され、順番が入れ替わる。

$ getopt ab:c -b aaa -a -c -d
getopt: オプションが違います -- d
-b aaa -a -c --

-dはoptstringに定義されていないため、エラーとなる。

　このようにgetoptでオプション文字並びにオプションの引数チェックとオプション文字でもオプションの引数でもないものを後ろに並べかえてくれる。

拡張コマンド使用例

　GNUのgetoptの場合は以下のような書き方ができる。（他にもいくつか書き方があるが詳細はgetop(1)を参照のこと)

$getopt -o optstring -l longoptstring -- parameters

-oは短いオプションを上記と同じ形式で記述する。-lには、長いオプション名を','で区切りながら記述できる。また、短いオプションと同様に最後に':'をつけるとそのオプションは引数を取ることになる。paramtersで長いオプションは'--'で始まる。

$getopt -o ab:c -l dfg,hij: -- -a --dfg abc --hij aaa
-a --dfg --hij 'aaa' -- 'abc'

--dfgと--hijがオプションとして認識され、aaaは--hijの引数となる。また、この書式を使うとシェルでのメタ文字の展開を避けるため、オプションの引数とオプション文字でもオプションの引数でもないものはシングルクォートされて出力される。

シェルスクリプト利用例

　シェルスクリプトで使う場合は以下のようにして使う。

OPTIONS=`getopt -o ab:c --long dfg,hij: -- "$@"`
if [ $? != 0 ] ; then
 exit 1
fi
eval set -- "$OPTIONS"
while true; do
    case "$1" in
        -a)
        # -aのときの処理
        shift
        ;;
    -b)
        # -bのときの処理
        shift 2
        ;;
    -c)
        # -cのときの処理
        shift
        ;;
    --dfg)
        # --dfgのときの処理
        shift
        ;;
    --hij)
        # --hijのときの処理
        shift 2
        ;;
    --)
        shift
        break
        ;;
    *)
        echo "Internal error!" >&2
        exit 1
        ;;
    esac
done
# オプションでもオプションの引数でもないものの処理

$@はシェルスクリプトの位置パラメータ($1,$2,...)に展開されるので、それをgetoptにかけ、オプションとそのパラメータが先になるように並べ変える。その際、認識できないオプションがあったり、オプションのパラメータが存在しない場合はエラーとなる。その出力結果をもう一度「set -- 」で位置パラメータに入れ直す。ただし、シェルの特別な文字を展開しないように、$OPTIONSをダブルクォート("$OPTIONS")としてパラメータ展開を行っているため、evalとして実行する。(そうしないと、setのパラメータとして展開されるので、ひとつの単語とみなされ$1にまとめて設定されてしまう。evalをつけるとevalのパラメータとして展開された後、「set --」が実行されるため、スペース区切りでそれぞれ位置パラメータに設定される。)

■ 参考資料

Manpage of GETOPT
Manpage of BASH

SSHのbrute forceアタック対応

　自宅サーバーのログをチェックしていると、/var/log/auth.logにSSHに対してユーザを変えながら何度もアクセスしているログが大量に残っていた。どうもbrute forceアタックをされているようだ。brute forceアタックというのはユーザ、パスワードを総当りで破ろうとする力ずくの攻撃のこと。

● 主な対策方法

　SSHのbruteforceアタック対しての対策方法は主に以下があるようだった。
1.ポート番号を1024番以降(well-knownポート以外)に変える。
2.TCPWrapperやiptablesで特定のIPアドレスのみ接続を受け付ける。
3.iptablesのipt_recentを使って一定時間にアクセスがあったホストをはじく。
2は、今後自分が外からSSH経由でログインする場合は、IPアドレスを固定できないので使えない。1が、もっとも簡単なのだが、勉強がてら3の方法に挑戦してみた。

● iptables概要

iptablesの最小単位はパケットをどう扱うかというルールで、それをチェインというルールをひとまとめにしたものに追加していく。チェインは組み込み済みのもの以外にユーザが自分で定義することができる。そして、チェインはテーブルに属しており、テーブルには、用途に応じてfilter,nat,mangleという3種類がある。filterは通常のパケットの送受信に使うもので、INPUT,OUTPUT,FORWARDの組み込みチェインがある。他にNAT変換時に使うnatと、何に使うのかよくわからないがmangleというテーブルがある。今回はfilterテーブルに設定を行う。

● iptablesの設定

　以下のようにiptablesの設定を行う。

iptables -N SSHEvil
iptables -N SSH
iptables -A INPUT -j SSH -p tcp --dport 22

iptables -F SSHEvil
iptables -A SSHEvil -m recent --name badSSH --set
iptables -A SSHEvil -j LOG --log-level DEBUG --log-prefix "evil SSH user:"
iptables -A SSHEvil -j DROP

iptables -F SSH
iptables -A SSH -j ACCEPT -s 192.168.0.0/24
iptables -A SSH -p tcp ! --syn -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSHルール1
iptables -A SSH -p tcp --syn -m recent --name badSSH --update --seconds 600 -j REJECT
# SSHルール2
iptables -A SSH -p tcp --syn -m recent --name conSSH --rcheck --seconds 60 --hitcount 5 -j SSHEvil
# SSHルール3
iptables -A SSH -p tcp --syn -m recent --name conSSH --set
iptables -A SSH -p tcp --syn -j ACCEPT

　まず、filterテーブルに新規にSSHEvilとSSHというチェインを作成。3行目でINPUTチェインに対して22番ポート(SSHのポート)を受信した場合は、SSHチェインへ渡すように設定。filterテーブルには組み込みでINPUT,OUTPUT,FORWARDの3つのチェインが組み込まれている。INPUTは受信したパケットにFORWARDは他のインターフェースへ流すパケットに、OUTPUTは送信するパケットに対して適用される。

　4行目からはSSHEvliチェインに対してルールを設定する。 まず、-Fで全てのルールを削除。次にipt_recentモジュールのルール設定でbadSSHというリスト(-name)に送信元IPアドレスを記憶し(--set)、ログを出力してパケットを捨てるというルールを記述して、SSHEvliチェインは終了。 このように、SSHEvilチェインは一本道の単純なものでパケットは最終的に全て捨てられることになる。

　続いてSSHチェインのルール設定を行う。8行目で-Fで全てのルールを削除。ローカルアドレスは無条件で受信を許可する。続いてSYNフラグなし(!--syn)、TCP状態がESTABLISHEDならびにRELATED(--state)を指定することでTCPでの接続確立後のデータパケットは許可する。以降のルールは接続確立要求のパケット(--syn)を対象に設定する。送信元IPアドレスがbadSSHリストで(-name)600秒以内にアクセスがあるか(--seconds)チェックし、あった場合は受信時間を更新し(--updates)パケットを拒否する。 　次のルールでは、送信元IPアドレスがconSSHリスト(-name)で60秒以内のアクセスが(--seconds)、5回以上ある(--hitcount)かチェックしあった場合は(--rcheck)SSHEvilチェインへ渡す設定をし、さらにconSSHというリスト(-name)に送信元IPアドレスを記憶し(--set)、最後にパケットを受け入れる。

● パケットフィルタの動作

SSH接続を要求してきたホストは、SSHルール3によりconSSHリストに登録された後要求を受け付ける。しかし、60秒に5回を超えてSSH接続をする場合は、その前にあるSSHルール2に該当することになりSSHEvilチェインへと移動し、badSSHリストに登録されてパケットは捨てられることになる。さらに接続しようとすると今度はSSHルール1に引っかかり、パケットは拒否されることになる。SSHルール1に引っかかった場合は、その都度時間が更新されるため、このルールから抜け出すためには600秒間アクセスを行わない必要がある。

● 問題点

　ただし、ここでいう接続はTCPレベルのものであり、SSHの接続が成功したかどうかを見ているわけではない。SSH接続が成功したとしても1回にカウントされてしまうので、正しいホストも1分間に5接続以上はできないことになる。

　また、IPアドレスで見ているため、NAT下からの複数ユーザの接続の場合は同じIPアドレスとみなされてしまうため接続できなくなる可能性がある。

とりあえず、自分の運用ではどららも問題になりそうもないので、この設定を使うことにする。

● 参考資料

iptables の ipt_recent で ssh の brute force attack 対策

udevd init_uevent_netlink_sock

udevdのinit_uevent_netlink_sock関数の解析メモ

static int init_uevent_netlink_sock(void)
{
    struct sockaddr_nl snl;
    const int buffersize = 16 * 1024 * 1024;
    int retval;

    memset(&snl, 0x00, sizeof(struct sockaddr_nl));
    netlinkソケットはカーネルとユーザ空間の通信の通信に使用。
    アドレスはstruct sockaddr_nlを使う。
    snl.nl_family = AF_NETLINK;
    snl.nl_pid = getpid();
    snl.nl_groups = 1;

    netlinkソケットを作成する
    uevent_netlink_sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_KOBJECT_UEVENT);
    if (uevent_netlink_sock == -1) {
        err("error getting socket: %s", strerror(errno));
        return -1;
    }

    SO_RCVBUFFORCEは、特権プロセスがカーネルパラメータであるrmem_maxを
    上書きして受信バッファの最大サイズを設定することができる。
    rmem_maxは、/proc/sys/net/coreに存在する。
    /* set receive buffersize */
    setsockopt(uevent_netlink_sock, SOL_SOCKET, SO_RCVBUFFORCE, &buffersize, sizeof(buffersize));

    retval = bind(uevent_netlink_sock, (struct sockaddr *) &snl, sizeof(struct sockaddr_nl));
    if (retval < 0) {
        err("bind failed: %s", strerror(errno));
        close(uevent_netlink_sock);
        uevent_netlink_sock = -1;
        return -1;
    }
    return 0;
}

■ 参考資料

JM Manpage of NETLINK

OOM Killer

● 概要

　Out Of Memory Killerのこと。Linuxのデフォルトの動作では、プロセスがメモリを要求した場合、総メモリ使用量が実メモリ+swap以上であっても、ある程度許可するようになっている。これは、各プロセスが要求したメモリをすべて使うわけではないという経験的な法則により、できるだけ多くのプロセスを起動するためにそのように動作になっているようである。そのため、あるプロセスが確保できたはずのメモリを使おうとし、実際にメモリが足りない場合カーネルが適当なプロセスを選択し、そのプロセスをkillしてしまうことをOut Of Memory Killerという。

● 特定プロセス除外

このOOM Killerで重要なプロセスを除外するためには、/proc/(プロセスID)/oom_adjに-17を書き込む。

$ echo -17 > /proc/(プロセスID)/oom_adj

● OOM Killer停止

　また、/proc/sys/vm/overcommit_memoryの値でLinuxの動作そのものを変更することもできる。

値	説　明
0	メモリ確保要求があった場合、カーネルが現在未使用のメモリ量から経験的手法で判断する。(デフォルト)
1	メモリ確保要求は全て許可する。
2	メモリ確保要急がswapメモリ + (物理メモリ * /proc/sys/vm/overcommit_ratio / 100)まで許可する。

　2に設定することで実メモリ以上のメモリ確保要求は失敗するため、OOM Killerは動作しない。

● 参考 カーネルソース

overcommit_memory定義値

(include/linux/mman.h )
#define OVERCOMMIT_GUESS 0
#define OVERCOMMIT_ALWAYS 1
#define OVERCOMMIT_NEVER 2

int __vm_enough_memory(long pages, int cap_sys_admin)
mm/mmap.c
OOM Killerを実行するか判定を行う。

unsigned long badness(struct task_struct *p, unsigned long uptime)
mm/oom_kill.c
OOM Killerの対象プロセスを判定する

■ 参考資料

OOM Killer とは:IPpro
路地裏 ソース解読研究所: Number -17
OOM Killer によるプロセスの強制終了を防ぐ
JF: Linux Kernel 2.6 Documentation: vm.txt
memologue Linux Memory Overcommit

udevd init_udevd_socket

udevdのinit_udevd_socket関数の解析メモ

static int init_udevd_socket(void)
{
    struct sockaddr_un saddr;
    socklen_t addrlen;
    const int feature_on = 1;
    int retval;

    memset(&saddr, 0x00, sizeof(saddr));
    AF_LOCALはAF_UNIXと同じ
    Windowsでも使うため一般的な名前としてAF_LOCALを使う
    saddr.sun_family = AF_LOCAL;
    先頭をNULL文字にすると抽象名前空間となる。
    AF_UNIX(AF_LOCAL)ソケットでのみ使用できる。
    抽象名前空間の実装はLinux2.2以降から。
    JM Manpage of UNIXを参照のこと
    /* use abstract namespace for socket path */
    strcpy(&saddr.sun_path[1], UDEVD_CTRL_SOCK_PATH);
    addrlen = offsetof(struct sockaddr_un, sun_path) + strlen(saddr.sun_path+1) + 1;

    udevd_sock = socket(AF_LOCAL, SOCK_DGRAM, 0);
    if (udevd_sock == -1) {
        err("error getting socket: %s", strerror(errno));
        return -1;
    }

    /* the bind takes care of ensuring only one copy running */
    retval = bind(udevd_sock, (struct sockaddr *) &saddr, addrlen);
    if (retval < 0) {
        err("bind failed: %s", strerror(errno));
        close(udevd_sock);
        udevd_sock = -1;
        return -1;
    }
    SO_PASSCREDはmsgの補助メッセージとして信任状を受信できるようにする。
    信任状は以下の型
    struct ucred {
        pid_t  pid;  /* process id of the sending process */
        uid_t  uid;  /* user id of the sending process */
        gid_t  gid;  /* group id of the sending process */
    };
    補助メッセージはsendmsg()とrecvmsg()で送受信する。
    JM Manpage of UNIXを参照のこと
    /* enable receiving of the sender credentials */
    setsockopt(udevd_sock, SOL_SOCKET, SO_PASSCRED, &feature_on, sizeof(feature_on));

    return 0;
}

■ 参考資料

JM Manpage of UNIX
JM Manpage of SEND
JM Manpage of RECV

udevd main

udevdのmain関数の解析メモ

int main(int argc, char *argv[], char *envp[])
{
    int retval;
    int fd;
    struct sigaction act;
    fd_set readfds;
    const char *value;
    int daemonize = 0;
    int option;
    static const struct option options[] = {
        { "daemon", 0, NULL, 'd' },
        { "debug-trace", 0, NULL, 't' },
        { "verbose", 0, NULL, 'v' },
        { "help", 0, NULL, 'h' },
        {}
    };
    int rc = 1;
    int maxfd;

    logging_init("udevd");
    udev_config_init();  環境変数からconfig file名などを取得。
    selinux_init();  何もしない
    dbg("version %s", UDEV_VERSION);

    /* parse commandline options */
    while (1) {
        コマンドオプションの解析(省略)
    }

    rootで実行されているかチェック
    if (getuid() != 0) {
        fprintf(stderr, "root privileges required\n");
        err("root privileges required");
        goto exit;
    }

    /* init sockets to receive events */
    制御用のUNIXドメインソケットを作成
    if (init_udevd_socket() < 0) {
        if (errno == EADDRINUSE) {
            fprintf(stderr, "another udev daemon already running\n");
            err("another udev daemon already running");
            rc = 1;
        } else {
            fprintf(stderr, "error initializing udevd socket\n");
            err("error initializing udevd socket");
            rc = 2;
        }
        goto exit;
    }
    カーネルイベント用のソケット作成
    if (init_uevent_netlink_sock() < 0) {
        fprintf(stderr, "error initializing netlink socket\n");
        err("error initializing netlink socket");
        rc = 3;
        goto exit;
    }

    /* setup signal handler pipe */
    シグナルハンドラーからの通知に使用するパイプを作成
    retval = pipe(signal_pipe);
    if (retval < 0) {
        err("error getting pipes: %s", strerror(errno));
        goto exit;
    }

    作成したpipeに対してfcntlが可能かどうかチェックしNONBLOCKに設定する
    retval = fcntl(signal_pipe[READ_END], F_GETFL, 0);
    if (retval < 0) {
        err("error fcntl on read pipe: %s", strerror(errno));
        goto exit;
    }
    retval = fcntl(signal_pipe[READ_END], F_SETFL, retval | O_NONBLOCK);
    if (retval < 0) {
        err("error fcntl on read pipe: %s", strerror(errno));
        goto exit;
    }

    retval = fcntl(signal_pipe[WRITE_END], F_GETFL, 0);
    if (retval < 0) {
        err("error fcntl on write pipe: %s", strerror(errno));
        goto exit;
    }
    retval = fcntl(signal_pipe[WRITE_END], F_SETFL, retval | O_NONBLOCK);
    if (retval < 0) {
        err("error fcntl on write pipe: %s", strerror(errno));
        goto exit;
    }

    ルールファイルをパースしてメモリに展開する。
    /* parse the rules and keep them in memory */
    sysfs_init();
    udev_rules_init(&rules, 1);

    export_initial_seqnum();

    デーモン化するために子プロセスを作成し親は終了する
    if (daemonize) {
        pid_t pid;

        pid = fork();
        switch (pid) {
        case 0:
            dbg("daemonized fork running");
            break;
        case -1:
            err("fork of daemon failed: %s", strerror(errno));
            rc = 4;
            goto exit;
        default:
            dbg("child [%u] running, parent exits", pid);
            rc = 0;
            goto exit;
        }
    }
    /dev/nullを標準入力と標準出力に設定
    /* redirect std fd's */
    fd = open("/dev/null", O_RDWR);
    if (fd >= 0) {
        dup2(fd, STDIN_FILENO);
        if (!verbose)
            dup2(fd, STDOUT_FILENO);
        dup2(fd, STDERR_FILENO);
        if (fd > STDERR_FILENO)
            close(fd);
    } else
        err("error opening /dev/null: %s", strerror(errno));

    /* set scheduling priority for the daemon */
    setpriority(PRIO_PROCESS, 0, UDEVD_PRIORITY);

    chdir("/");
    umask(022);

    /* become session leader */
    セッションリーダーになる
    sid = setsid();
    dbg("our session is %d", sid);

    /* OOM_DISABLE == -17 */
    Out Of Memory Killerを無効にするために/proc/self/oom_adに-17を書く
    OOM Killerについては詳細記事を参照のこと
    fd = open("/proc/self/oom_adj", O_RDWR);
    if (fd < 0)
        err("error disabling OOM: %s", strerror(errno));
    else {
        write(fd, "-17", 3);
        close(fd);
    }

    シグナルハンドラーを設定する
    /* set signal handlers */
    memset(&act, 0x00, sizeof(struct sigaction));
    act.sa_handler = (void (*)(int)) sig_handler;
    sigemptyset(&act.sa_mask);
    act.sa_flags = SA_RESTART;
    sigaction(SIGINT, &act, NULL);
    sigaction(SIGTERM, &act, NULL);
    sigaction(SIGCHLD, &act, NULL);
    sigaction(SIGHUP, &act, NULL);

    /* watch rules directory */
    ルールディレクトリィの監視を行う。glibc経由ではなくsyscallで直接呼ぶ。
    syscall(__NR_inotify_init),syscall(__NR_inotify_add_watch,・・・など
    inotify_fd = inotify_init();
    if (inotify_fd >= 0)
        inotify_add_watch(inotify_fd, udev_rules_dir, IN_CREATE | IN_DELETE | IN_MOVE | IN_CLOSE_WRITE);
    else if (errno == ENOSYS)
        err("the kernel does not support inotify, udevd can't monitor configuration file changes");
    else
        err("inotify_init failed: %s", strerror(errno));

    /* maximum limit of forked childs */
    子プロセス数の設定値を取得(省略)

    /* export log_priority , as called programs may want to follow that setting */
    sprintf(udev_log, "UDEV_LOG=%i", udev_log_priority);
    putenv(udev_log);
    if (debug_trace)
        putenv("DEBUG=1");

    select用ファイルディスクリプタの最大値を取得
    maxfd = udevd_sock;
    maxfd = UDEV_MAX(maxfd, uevent_netlink_sock);
    maxfd = UDEV_MAX(maxfd, signal_pipe[READ_END]);
    maxfd = UDEV_MAX(maxfd, inotify_fd);

    selectでイベント受信待ち
    while (!udev_exit) {
        struct udevd_uevent_msg *msg;
        int fdcount;

        FD_ZERO(&readfds);
        FD_SET(signal_pipe[READ_END], &readfds);
        FD_SET(udevd_sock, &readfds);
        FD_SET(uevent_netlink_sock, &readfds);
        if (inotify_fd >= 0)
            FD_SET(inotify_fd, &readfds);

        fdcount = select(maxfd+1, &readfds, NULL, NULL, NULL);
        if (fdcount < 0) {
            if (errno != EINTR)
                err("error in select: %s", strerror(errno));
            continue;
        }

            イベントごとの処理を行う。(省略)

    }
    rc = 0;

    後始末を行う
exit:
    udev_rules_cleanup(&rules);
    sysfs_cleanup();

    if (signal_pipe[READ_END] >= 0)
        close(signal_pipe[READ_END]);
    if (signal_pipe[WRITE_END] >= 0)
        close(signal_pipe[WRITE_END]);

    if (udevd_sock >= 0)
        close(udevd_sock);
    if (inotify_fd >= 0)
        close(inotify_fd);
    if (uevent_netlink_sock >= 0)
        close(uevent_netlink_sock);

    logging_close();

    return rc;
}

■ 参考資料

JM Manpage of PIPE
JM Manpage of FCNTL
JM Manpage of SETSID
JM Manpage of SIGACTION