第3回 権限を最小化するLinuxカーネルケーパビリティ 面 和毅 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ シニアマネージャ 2006/1/18 前回「ファイルACLを用いたアクセス制御」では、LIDSの特徴であるファイルACLによる強制アクセス制御(MAC)とその実装について見ました。今回は、LIDSの特徴の2つ目である「Linuxカーネルケーパビリティ」を見ていきましょう。 権限を切り分けるPOSIXケーパビリティ 通常、UNIXにおけるプロセスは、一般ユーザー権限で動くか、特権(root権限)で動くかの2種類しかありません。プロセスに特権が必要となるのは、Apacheなどのサービスがポート1024番未満のいわゆる「特権ポート」をプロセスで使用する場合や、pingやsnortなどのように生(raw)ソケ