devices子系統用于控制cgroup中所有程序可以通路哪些裝置,三個控制檔案:devices.allow,devices.deny,devices.list。
devices.allow用于指定cgroup中的程序可以通路的裝置, devices.deny用于指定cgroup中的程序不能通路的裝置,
devices.list用于報告cgroup中的程序通路的裝置。devices.allow檔案中包含若幹條目,每個條目有四個字段:type、major、minor 和 access。
type、major 和 minor字段中使用的值對應linux配置設定的裝置。
通過維護黑白名單,然後在inode_permission入口點,通過devcgroup_inode_permission函數檢查程序是否可以通路該裝置。
參考部落格:
1.devices子系統