UNIX 系の OS には、一般的に標準で chroot という機能があります。chroot は指定したディレクトリをルートディレクトリとしてプログラムを実行する機能です。この機能を使ってサーバプログラムを実行すれば、万が一、そのサーバプログラムの脆弱性によって侵入行為を受けても、侵入者は chroot で指定されたルートディレクトリ以下の領域以外にはアクセスできないため、侵入による被害を軽減させることができます。 サーバプログラムの中には、サーバプログラム自体に標準で chroot を行なう機能を有しているものもあります。
参考文書(日本語)
-
Chroot-BIND HOWTO
http://www.linux.or.jp/JF/JFdocs/Chroot-BIND-HOWTO.html
-
OpenBSD ドキュメント と 頻繁に繰り返される質問
10 - システム管理 10.16 - Apache の chroot() って何でしょう ?
http://www.openbsd.org/faq/ja/faq10.html#httpdchroot
参考文書(英語)
-
Secure BIND Template Version 4.6 27 JAN 2005
http://www.cymru.com/Documents/secure-bind-template.html
Weekly Report 2005-02-16号 に掲載