To je saopšteno predložena je implementacija a Mehanizam izolacije aplikacija za FreeBSD, koji podsjeća na fold and discover sistemske pozive razvijene od strane OpenBSD projekta.
Izolacija preklopa se postiže zabranom pristupa sistemskim pozivima koji se ne koriste u aplikaciji i selektivnim otvaranjem pristupa samo određenim putanjama datoteka s kojima aplikacija može raditi. Za aplikaciju se formira neka vrsta bijele liste sistemskih poziva i putanja datoteka, a svi ostali pozivi i putanje su zabranjeni.
Razlika između sklapanja i otkrivanja, razvijen za FreeBSD, svodi se na obezbjeđivanje dodatnog sloja koji vam omogućava da izolujete aplikacije bez unošenja promjena u njihov kod ili uz minimalne promjene. Zapamtite da u OpenBSD-u foldde i unlock imaju za cilj čvrstu integraciju sa osnovnim okruženjem i implementirani su dodavanjem posebnih napomena u kod svake aplikacije.
Kako bi pojednostavili organizaciju zaštite, filteri vam omogućavaju da izbjegnete detalje na nivou pojedinačnih sistemskih poziva i manipulišete klasama sistemskih poziva (ulaz/izlaz, čitanje datoteke, pisanje u fajl, utičnice, ioctl, sysctl, procesi pokretanja itd.) . Funkcije ograničenja pristupa mogu se pozvati u kodu aplikacije dok se izvode određene radnje, na primjer, pristup utičnicama i datotekama može se zatvoriti nakon otvaranja potrebnih datoteka i uspostavljanja mrežne veze.
Autor folding and discover porta za FreeBSD ima za cilj da pruži mogućnost izolacije proizvoljnih aplikacija, za koji je predložen uslužni program zavjesa, koji omogućava primjenu pravila definiranih u posebnom fajlu na aplikacije. Predložena konfiguracija uključuje fajl sa osnovnim postavkama koje definišu klase sistemskih poziva i tipične putanje fajlova specifične za određene aplikacije (rad sa zvukom, umrežavanje, logovanje itd.), kao i fajl sa pravilima pristupa za specifične aplikacije.
Uslužni program zavjesa se može koristiti za izolaciju većine neizmijenjenih uslužnih programa, serverskih procesa, grafičkih aplikacija, pa čak i cijelih desktop sesija. Deljenje zavesa je podržano izolacionim mehanizmima koje obezbeđuju Jail i Capsicum podsistemi.
Takođe moguće je organizirati ugniježđenu izolaciju, kada pokrenute aplikacije naslijede pravila koja je postavila nadređena aplikacija, dopunjujući ih posebnim ograničenjima. Neke operacije kernela (alati za otklanjanje grešaka, POSIX/SysV IPC, PTY) dodatno su zaštićene mehanizmom barijere koji sprečava pristup objektima kernela kreiranim od strane procesa koji nisu trenutni ili roditeljski proces.
Proces može postaviti sopstvenu izolaciju pozivanjem curtainctl ili korištenjem plegde() i unveil() funkcija koje pruža biblioteka libcurtain, slično onima u OpenBSD-u. 'security.curtain.log_level' sysctl je osiguran da prati padove dok aplikacija radi.
Pristup neriješenim problemima (problemi se uglavnom pojavljuju kada koristite X11, a podrška za Wayland je mnogo bolja). Korisnici mogu dodati dodatna ograničenja kreiranjem datoteka lokalnih pravila (~/.curtain.conf). Na primjer,
Implementacija uključuje modul kernela mac_curtain za obaveznu kontrolu pristupa (MAC), set zakrpa za FreeBSD kernel sa implementacijom potrebnih drajvera i filtera, biblioteku libcurtain za korištenje plegdea i mogućnosti otkrivene u aplikacijama, uslužnu zavjesu, prikazuje konfiguraciju datoteke, testni paket i zakrpe za neke programe u korisničkom prostoru (na primjer, za korištenje $TMPDIR za objedinjavanje rada s privremenim datotekama). Gdje god je to moguće, autor ima za cilj minimizirati broj promjena koje zahtijevaju zakrpe na kernelu i aplikacijama.
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.