Как правильно ограничить права на GPU?

Question

[Николай Бараненко]

Возникла необходимость ограничить права на GPU Cuda на одном из хостов с видеокартами Tesla
На просторах интернета была найдена статья Defining User Restrictions for GPUs
Решил воспользоваться этим опытом.
На сервере 2 GPU

# ls -las /dev/nvidia*
0 crw-rw-rw-. 1 root root 195,   0 Dec  2 22:02 /dev/nvidia0
0 crw-rw-rw-. 1 root root 195,   1 Dec  2 22:02 /dev/nvidia1

Создал локальную группу
sudo groupadd gpu_cuda
Добавил пользователей в группу gpu_cuda
Создал конфиг в /etc/modprob.d/nvidia.conf

#!/bin/bash
options nvidia NVreg_DeviceFileUID=0 NVreg_DeviceFileGID=0 NVreg_DeviceFileMode=0777 NVreg_ModifyDeviceFiles=0

Создал скрипт в /etc/init.d/gpu-restriction

# Required-Start:    $all
# Required-Stop:
# Default-Start:     2 3 4 5
# Default-Stop:
# Short-Description: Start daemon at boot time
# Description:       Enable service provided by daemon.
#  permissions if needed.
### END INIT INFO
set -e
start() {
/sbin/modprobe --ignore-install nvidia;
/sbin/modprobe nvidia_uvm;
test -c /dev/nvidia-uvm || mknod -m 777 /dev/nvidia-uvm c $(cat /proc/devices | while read major device; do if [ "$device" == "nvidia-uvm" ]; then echo $major; break; fi ; done) 0 && chown :root /dev/nvidia-uvm; 
test -c /dev/nvidiactl || mknod -m 777 /dev/nvidiactl c 195 255 && chown :root /dev/nvidiactl; 
devid=-1; 
for dev in $(ls -d /sys/bus/pci/devices/*); 
do vendorid=$(cat $dev/vendor); 
if [ "$vendorid" == "0x10de" ]; 
then class=$(cat $dev/class); 
classid=${class%%00}; 
if [ "$classid" == "0x0300" -o "$classid" == "0x0302" ]; 
then devid=$((devid+1)); 
test -c /dev/nvidia${devid} || mknod -m 750 /dev/nvidia${devid} c 195 ${devid} && chown :gpu_cuda /dev/nvidia${devid}; 
fi; 
fi; 
done
}
stop() {
:
}
case "$1" in
    start)
       start
       ;;
    stop)
       stop
       ;;
    restart)
       stop
       start
       ;;
    status)
       # code to check status of app comes here 
       # example: status program_name
       ;;
    *)
       echo "Usage: $0 {start|stop|status|restart}"
esac
exit 0

Перезапустил сервер и запустил скрипт
/etc/init.d/gpu-restriction start
При первой проверке, результат норм

# ls -las /dev/nvidia*
0 crw-rw-rw-. 1 root gpu_cuda 195,   0 Dec  2 22:02 /dev/nvidia0
0 crw-rw-rw-. 1 root gpu_cuda 195,   1 Dec  2 22:02 /dev/nvidia1

Но вторая проверка показывает что все возвращается на прежнее состояние

# ls -las /dev/nvidia*
0 crw-rw-rw-. 1 root root 195,   0 Dec  2 22:02 /dev/nvidia0
0 crw-rw-rw-. 1 root root 195,   1 Dec  2 22:02 /dev/nvidia1

Почему все возвращается? и как решить проблему?

Comments

[shurshur]

crw-rw-rw- - тут всем пользователям доступ на запись остался, не только группе.

[Николай Бараненко]

shurshur, получается такой способ вообще не годится для установки прав для устройства /dev/nvidia0/1 ?

mknod -m 750 /dev/nvidia${devid} c 195 ${devid} && chown :gpu_cuda /dev/nvidia${devid};

[shurshur]

Николай Бараненко, если приложения получают доступ к GPU через это символьное устройство, то поможет, если сделать правильно. Именно так управляются обычно доступы к сканерам, принтерам, звуковухам итд.

Но как правильно говорят в ответах, через udev rules будет более грамотно, тогда устройство будет автоматом конфигуриться как надо. Это где-то в районе /etc/udev/rules.d/ (может зависеть от дистриба). Я в этом не джедай, udev настраивал несколько раз под какие-то узкие задачи и не особо запоминал как оно работает (тем более исторически там раньше не раз всё менялось весьма капитально).

[Николай Бараненко]

shurshur, должен ли на хосте после установки драйверов и утилит от nvidia быть бинарник nvidia? у меня есть nvidia-modprobe и другие

nvidia-bug-report.sh     nvidia-cuda-mps-control  nvidia-cuda-mps-server   nvidia-debugdump         nvidia-modprobe          nvidia-persistenced      nvidia-smi               nvidia-xconfig

я к тому что пока буду разбираться в премудростях udev думаю попробовать крайний вариант

options nvidia-modprobe NVreg_DeviceFileMode=0660 NVreg_ModifyDeviceFiles=1

потому как есть предположение что ничего не происходит.

[shurshur]

Николай Бараненко, нет, не должен. Обычно там как раз какие-нибудь nvidia-settings.

Если установка делалась из пакетов, то на deb-дистрибах сначала смотрим, какие пакеты есть:

dpkg -l|grep nvidia

Следует обращать внимание, что у реально установленного в начале строки должно быть ii, если там что-нить типа rc - это хвосты от ранее установленных.

Затем смотрим, что в установленном пакете, например

dpkg -L nvidia-driver-525

Что будет в пакете решает тот, кто этот пакет собирает. Бывают пакеты без бинарников вообще. Например, linux-headers-generic содержит всего два файла и оба текстовые.

Для rpm аналоги команд:

rpm -qa|grep nvidia
rpm -ql имя_пакета

Если установка делалась не из пакетов, то выяснить, что установщик куда положил, уже не так просто. Но вообще обычно он создаёт как минимум модуль для ядра (.ko файл в глубине /lib/modules) и модуль для X-сервера (скорее всего, где-то в /usr/lib или /usr/local/lib).

Answer 1

[Дмитрий Александров]

Смотрите в сторону правил udev, ими можно все сделать без сриптов.

Comments

[Николай Бараненко]

благодарю за направление в сторону udev, а что в части прав на /dev/nvidia?

[Дмитрий Александров]

Николай Бараненко, там и можно их задать.