http://lwn.net/Articles/542327/
MSR write을 제한하는 patch가 나오면서
linux kernel의 capability에 대한 논란이 있었습니다.
linux kernel의 capability 문제는...
1. 특정 기능 사용에 대한 제한에 관여하는 capability가 추가된다.
2. 그에 따라서, capability를 사용하는 application이 수정되어야 한다.
(예전에 작성한 code를 다시 손봐야한다!)
3. 이전에 대한 호환성을 유지한다고 하면 security hole에 대한 수정사항은 어떻게 대처할 것인가?
4. capability에 대한 전체적인 roadmap이 없다.
인 것으로 파악하고 있습니다.
linux kernel의 capability는
CAP_SYS_RAWIO를 iopl(), ioperm()에 적용하는 것으로 시작했는데,
자꾸 늘어나는데, 어떤 function()에 대해서 어떤 capability를 적용할 것인가,에 대한
큰 그림이 없는 상태에서 하면서 정리하려고 하는 것같습니다.
(root 권한과 CAP_SYS_ADMIN을 구분은 어떻게 해야 할 것인가?)
어쨌든, 이런 것은 자발적인 개발자에 의존하는 linux kernel 개발 모델의 약점이 아닐런지.
