9月末または10月のリリースが予定されているFreeBSD 9.0-RELEASEには新しいセキュリティ機能「Capsicum」が登場します。FDTではしばらく概念的な説明や、実際の実装例などを紹介して「Capsicum」の機能を紹介していきます。
- How to use cap_new(2)?
では、実際にcap_new(2)で与えた権限以外の処理をさせてみます。次のように「read-cap3.c」ファイルを用意します。ケーパビリティを作成する段階で読み込みだけを許可しておき、ケーパビリティモードに入ってから書き込みをしてみます。
次のように、書き込みは許可されていないので処理できません。
この使い方だと既存のopen(2)時にリードオンリーの指定をするのとあまりかわりませんが、基本的な使い方ということで紹介しておきました。次はもうちょっとCapsicumっぽい使い方を取り上げます。