FreeBSD Daily Topics

2011年9月14日Capsicumを知る - 積極的なセキュリティ強化

9月末または10月のリリースが予定されているFreeBSD 9.0-RELEASEには新しいセキュリティ機能「Capsicum」が登場します。しばらくこの新機能について概要からサンプル実装紹介まで取り上げてきました。今回の紹介で一旦Capsicumの紹介は締めたいと思います。

Simple and powerfull, Capsicum

これまでの実装サンプルを見てわかるように、Capsicumの提供する機能はとてもシンプルで強力、さらに既存の実装との相性が極めて高いものとなっています。既存のコードのロジックを変更することなく、Capsicumの機能を利用するようにソースコードを挿入することが可能です。

Capsicumの提供するセキュリティ強化はプログラムが自ら積極的に権限を規制していくところにポイントがあるので、ユーザみずからコマンドを実行してどうこう、という実感は得にくい機能です。なのでこの機能を体感することはないかもしれませんが、FreeBSD 9.0-RELEASEからはこの機能が取り込まれたということは覚えておくといいでしょう。

とくにサーバで常時動作するなんらかのサービスを実装するといった場合、Capsicumの機能はとても便利なものです。実装も簡単ですので、一度Capsicumを使った実装を試みてみると良いのではないかと思います。

FreeBSDのベースシステムで動作するコマンドやユーティリティは徐々にCapsicum対応を進めていくことになります。すでにhastd(8)には対応コードが入っていますし、ほかのコマンドも適用して意味があるものは随時対応が進められることになります。

おすすめ記事

記事・ニュース一覧