如何将stdin、stdout、stderr重定向到/dev/null

Q: 我使用了如下代码将stdin、stdout、stderr重定向到/dev/null

freopen( "/dev/null", "w", stdout );
   freopen( "/dev/null", "w", stderr );
   freopen( "/dev/null", "r", stdin );

这样做正确吗，是否使用"w+"或者"a"更正确一些。在很多代码中是这样完成重定
   向的:

close( 0 );
   close( 1 );
   close( 2 );
   open( "/dev/null", O_RDWR );
   dup( 0 );
   dup( 0 );

这两种方式中哪一种更好、更具可移植性。

A: Andrew Gierth <andrew@erlenstar.demon.co.uk>

第一种方式不是总能达到目的。freopen()并不确保新的文件流描述符一定重用底层
原有文件句柄。假如未能重用，向stderr流输出的标准I/O函数最终输出到/dev/null，
但那些向STDERR_FILENO句柄输出的标准I/O函数就没这么幸运了，可能输出到一些不
可预期的文件中去。换句话说，2号句柄此时不再是标准错误输出了。比如:

write( 2, ... )

这样的调用存在安全问题。第二种方式可以避免上述问题，然而存在竞争环境问题。

现在看下述代码:

--------------------------------------------------------------------------
    int fd = open( "/dev/null", O_RDWR );
    /*
     * handle failure of open() somehow
     */
    dup2( fd, 0 );
    dup2( fd, 1 );
    dup2( fd, 2 );
    if ( fd > 2 )
    {
        close( fd );
    }
--------------------------------------------------------------------------

与第二种方式相比，这种代码是线程安全的。

有人认为对于后台守护进程做此类重定向操作浪费资源，建议直接关闭0、1、2号句
柄拉倒，这是非常不正确的。假设它们确实被关闭了，则一些普通数据文件句柄将等
于0、1、2。以2号句柄为例，某些库函数失败后会向2号句柄输出错误信息，这将破
坏原有数据。

D: 小四 <scz@nsfocus.com> 2002-04-25 16:47

2号句柄的此类安全问题在2002年4月23日得到了实际印证，可参看<<x86/FreeBSD 
4.5-RELEASE IO Smash及S/Key机制分析>>。

1987年，Henry Spencer在setuid(7)手册页中做了如下建议，一切标准I/O句柄都可
能因关闭过而不再是真实的标准I/O句柄，在使用printf()一类的函数前，务必确认
这些句柄是期待中的标准I/O句柄。1991年，在comp news上有人重贴了这份文档。

内核补丁应该确保对于SUID、SGID进程而言，0、1、2号句柄不会被打开后指向一个
普通文件。这有很多实现方式，比如使它们全部指向/dev/null。这种限制不应该在
库函数一级实现，可能有些SUID、SGID程序直接使用系统调用。

stdin、stdout、stderr中某一个被关闭，都可能潜在存在问题。

1992年W. Richard Stevens在<<Advanced Programming in the UNIX Environment>>
中建议Daemon进程应该关闭所有不必要的文件句柄，并将stdin、stdout、stderr指
向/dev/null。

自1998年以来，OpenBSD内核中execve()里有一个检查，如果句柄0、1、2是关闭的，
就打开/dev/null，使之对应0、1、2号句柄。这样就可以安全地执行setuid程序了。
FreeBSD/NetBSD直至最近才再次暴露出类似问题，而Linux在glibc中做了一些检查。

但是，OpenBSD这个检查存在一个问题，当falloc()失败时，应该转向错误处理，而
不是简单地跳出循环。art在注释中指出了这点，却无人去修正它。

--------------------------------------------------------------------------
sys/kern/kern_exec.c

在一个循环中，内核试图打开/dev/null，使之对应0-2号句柄

(...)
    if ( ( error = falloc( p, &fp, &indx ) ) != 0 )
    {
        break;
    }
(...)
--------------------------------------------------------------------------

于是本地用户获得一个内核文件表项相关的竞争环境，可以获取root权限。