Разработчик Дэвид Драйсдейл (David Drysdale) рассказал в списке рассылки LKML о своей работе над адаптацией фреймворка безопасности Capsicum для ядра Linux.
Capsicum используется в последних версиях операционной системы FreeBSD (9.x/10.x). По мнению специалиста, фреймворк очень надёжно изолирует в песочнице приложения, работающие с конфиденциальной информацией. Например, OpenSSH для FreeBSD с версии 6.5 использует Capsicum для ограничения sshd в части проверки данных аутентификации, чтобы снизить риск утечки информации.
Дэвид Драйсдейл объясняет, что главное преимущество Capsicum — установка прав для отдельных файловых дескрипторов, соответствующих потокам ввода-вывода в операционной системе. Ядро разрешает выполнение процесса только в соответствии с этими правами. Таким образом, приложение из userspace может поместить часть процессов в песочницу и жёстко ограничить их в правах на ввод и вывод. Скажем, tcpdump разрешено получать данные только от сетевых файловых дескрипторов, а писать только в stdout.
При этом в Capsicum используется специальный режим заморозки системных вызовов, чтобы предотвратить обход установленных ограничений с помощью новых файловых дескрипторов.
В силу специфики эффективная работа песочницы возможна только при внедрении Capsicum непосредственно в ядро. К сожалению, это требует многочисленных изменений в коде ядра. Учитывая консерватизм некоторых разработчиков, не факт, что они одобрят изменения. По этому поводу идёт дискуссия. В любом случае, окончательное решение будет за Линусом Торвальдсом.
