devices子系统用于控制cgroup中所有进程可以访问哪些设备,三个控制文件:devices.allow,devices.deny,devices.list。
devices.allow用于指定cgroup中的进程可以访问的设备, devices.deny用于指定cgroup中的进程不能访问的设备,
devices.list用于报告cgroup中的进程访问的设备。devices.allow文件中包含若干条目,每个条目有四个字段:type、major、minor 和 access。
type、major 和 minor字段中使用的值对应Linux分配的设备。
通过维护黑白名单,然后在inode_permission入口点,通过devcgroup_inode_permission函数检查进程是否可以访问该设备。参考博客:
