9月末または10月のリリースが予定されているFreeBSD 9.0-RELEASEには新しいセキュリティ機能「Capsicum」が登場します。FDTではしばらく概念的な説明や、実際の実装例などを紹介して「Capsicum」の機能を紹介していきます。
- Capability mode going into a child process
Capsicumの実装例としてもう1つだけ紹介しておきます。昨日掲載したソースコードで、今度は子プロセスでケーパビリティの権限を拡張しようとしてみます。ここでは「read-cap-process3.c」として用意しました。
実行すると次のようになります。当然ですがケーパビリティのエラーとしてはじかれます。
数回に渡ってCapsicumの実装例を紹介してきました。実施、実装するのはcap_new(2)とcap_enter(2)くらいのもので、その実装はとてもシンプルなものです。