日本語 man コマンド類 (ja-man-1.1j_5) と日本語 man ドキュメント (ja-man-doc-5.4 (5.4-RELEASE 用) など) をインストールすると、以下のような man コマンド閲覧、キーワード検索が コンソールからできるようになります。
4.11-RELEASE-K, 5.4-RELEASE-K, 5.5-RELEASE-K, 6.0-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K, 12.1-RELEASE-K は、 プライベート版 (小金丸が編集してまとめたもの) ですが、 より多くの翻訳したファイルが含まれています。 (5.4-RELEASE-K から 6.4-RELEASE-K, 7.0-RELEASE-K から 7.4-RELEASE-K, 8.0-RELEASE-K から 8.4-RELEASE-K, 9.0-RELEASE-K から 9.3-RELEASE-K, 10.0-RELEASE-K から 10.3-RELEASE-K, 11.0-RELEASE-K から 11.4-RELEASE-K, 12.0-RELEASE-K から 12.4-RELEASE-K, 13.0-RELEASE-K から 13.3-RELEASE-K, 14.0-RELEASE-K から 14.1-RELEASE-K は、全翻訳済み)
13.3-STABLE-K, 15.0-CURRENT-K は現在、作成中で日々更新されています。
Table of Contents
CAP_ENTER(2) FreeBSD システムコールマニュアル CAP_ENTER(2) 名称 cap_enter, cap_getmode -- ケーパビリティモードシステムコール ライブラリ 標準 C ライブラリ (libc, -lc) 書式 #include <sys/capsicum.h> int cap_enter(void); int cap_getmode(u_int *modep); 解説 cap_enter() は、プロセスがファイル記述子でシステムコールを発行するか、ま たは限られた制限されたグローバルシステム状態を読み込むだけである、実行の モードである、ケーパビリティモードに現在のプロセスを置きます。ファイルシ ステムまたは IPC 名前空間のような、グローバル名前空間へのアクセスは、防止 されます。プロセスが既にケーパビリティモードモードのサンドボックスである なら、システムコールは、無効の操作 (no-op) です。fork(2) または pdfork(2) で作成された将来のプロセスの子孫は、始まりからケーパビリティモードに置か れます。 cap_rights_limit(2), cap_ioctls_limit(2), cap_fcntls_limit(2), と組み合わ されるとき、cap_enter() は、適切に作られたアプリケーションまたはアプリ ケーションの構成要素が実行されるカーネルで実行されたサンドボックスを作成 するために使用されます。 cap_getmode() は、プロセスがケーパビリティモードのサンドボックスにあるか どうかを示すフラグを返します。 実行時の設定 kern.trap_enotcap sysctl MIB が 0 以外の値に設定されるなら、ケーパビリ ティモードのサンドボックスで実行しているあらゆるプロセスのために、 ENOTCAPABLE または ECAPMODE エラーにいずれかの結果となるあらゆる syscall は、syscall の返り時にスレッドに同時的な SIGTRAP シグナルも生成します。シ グナルの配信において、siginfo シグナルハンドラのパラメータの si_errno メ ンバは、syscall のエラー値に設定され、si_code メンバは、TRAP_CAP に設定さ れます。 また、プロセスごとの機能と同様に procctl(2) 関数の PROC_TRAPCAP_CTL と PROC_TRAPCAP_STATUS 操作も参照してください。 警告 効果的なプロセスサンドボックスを作成することは、プロセスによって要求され た最小限の権利を識別して、次に、安全な方法でそれらの権利をプロセスに渡す ことを含むトリッキなプロセスです。また、cap_enter() の消費者は、考えられ るべきである、VM リソースへのアクセス、メモリ内容と他のプロセスの特性など のような、他の継承される権利を承知しているべきです。できるだけわずかな暗 黙のうちに取得された権利を持っているサンドボックス内で実行時間の環境を作 成するために fexecve(2) を使用することは、賢明です。 戻り値 関数 cap_enter() および cap_getmode() は、処理が成功すると値 0 を返しま す。そうでない場合、値 -1 が返され、グローバル変数 errno にエラーを示す値 が設定されます。 エラー cap_enter() と cap_getmode() システムコールは、次の場合に失敗します: [ENOSYS] カーネルは、次のものなしでコンパイルされます: options CAPABILITY_MODE また、cap_getmode() システムコールは、次のエラーを返します: [EFAULT] ポインタ modep が、プロセスの割り付けられたアドレス空 間の外側を指しています。 関連項目 cap_fcntls_limit(2), cap_ioctls_limit(2), cap_rights_limit(2), fexecve(2), procctl(2), cap_sandboxed(3), capsicum(4), sysctl(9) 歴史 ケーパビリティとケーパビリティモードのサポートは、TrustedBSD プロジェクト の一環として開発されました。 作者 これらの関数とケーパビリティ機能は、Google Inc. からの助成金の支援によっ て University of Cambridge Computer Laboratory の Robert N. M. Watson に よって作成されました。 FreeBSD 11.4 May 23, 2017 FreeBSD 11.4