Se paljastui täytäntöönpanoa on ehdotettu mukaan sovelluksen eristysmekanismi FreeBSD:lle, joka muistuttaa OpenBSD-projektin kehittämiä fold and unveil -järjestelmäkutsuja.
Plegden eristäminen tehdään estämällä pääsy järjestelmäkutsuihin, joita sovellus ei käytä, ja paljastamalla valikoivasti pääsy vain tiettyihin tiedostopolkuihin, joiden kanssa sovellus voi toimia. Sovellusta varten muodostetaan eräänlainen valkoinen lista järjestelmäkutsuista ja tiedostopoluista, ja kaikki muut kutsut ja polut ovat kiellettyjä.
Ero taitetun ja paljastetun välillä, kehitetty FreeBSD:lle, se tiivistyy antamaan ylimääräinen kerros jonka avulla voit eristää sovellukset ilman muutoksia tai muuttamatta niiden koodia vain vähän. Muista, että OpenBSD:ssä plegde ja unlock pyrkivät tiiviiseen integraatioon perusympäristön kanssa ja ne toteutetaan lisäämällä erityisiä huomautuksia kunkin sovelluksen koodiin.
Suojauksen organisoinnin yksinkertaistamiseksi suodattimien avulla voit välttää yksityiskohtia yksittäisten järjestelmäkutsujen tasolla ja muokata järjestelmäkutsujen luokkia (syöttö/tulostus, tiedoston luku, tiedoston kirjoitus, sockets, ioctl, sysctl, prosessien aloitus jne.) . Käyttörajoitustoiminnot voidaan kutsua sovelluskoodissa tiettyjen toimintojen suorittamisen yhteydessä, esimerkiksi pääsy pistokkeisiin ja tiedostoihin voidaan sulkea tarvittavien tiedostojen avaamisen ja verkkoyhteyden muodostamisen jälkeen.
FreeBSD:n fold and discover portin kirjoittaja tarkoituksena on tarjota mahdollisuus eristää mielivaltaisia sovelluksia, jolle ehdotetaan verhoapuohjelmaa, joka mahdollistaa erillisessä tiedostossa määriteltyjen sääntöjen soveltamisen sovelluksiin. Ehdotettu konfiguraatio sisältää tiedoston, jossa on perusasetukset, jotka määrittelevät tietyille sovelluksille ominaisten järjestelmäkutsujen luokat ja tyypilliset tiedostopolut (työskentely äänen kanssa, verkot, kirjaus jne.), sekä tiedoston, joka sisältää pääsysäännöt sovelluksille.
Verho-apuohjelmaa voidaan käyttää useimpien apuohjelmien, palvelinprosessien, graafisten sovellusten ja jopa kokonaisten työpöytäistuntojen eristämiseen, joita ei ole muokattu. Verhon jakaminen Jail- ja Capsicum-alijärjestelmien eristysmekanismien kanssa on tuettu.
myös on mahdollista järjestää sisäkkäinen eristys, kun sovellukset käynnistetään, ne perivät pääsovelluksen asettamat säännöt, täydentämällä niitä erillisillä rajoituksilla. Jotkut ytimen toiminnot (virheenkorjaustyökalut, POSIX/SysV IPC, PTY) on lisäksi suojattu estomekanismilla, joka estää pääsyn muiden kuin nykyisen tai emoprosessin luomiin ydinobjekteihin.
Prosessi voi määrittää oman eristyksensä kutsumalla curtainctl tai käyttämällä libcurtain-kirjaston tarjoamia plegde()- ja unveil()-funktioita, kuten OpenBSD:ssä. Sysctl 'security.curtain.log_level' on tarkoitettu seuraamaan lukkoja sovelluksen ollessa käynnissä.
Pääsy X11- ja Wayland-protokolliin otetaan käyttöön erikseen määrittämällä "-X"/"-Y" ja "-W" valinnat verhoa käynnistettäessä, mutta graafisten sovellusten tuki ei ole vielä tarpeeksi vakiintunut ja siinä on useita ratkaisemattomia ongelmia ( ongelmat ilmenevät pääasiassa käytettäessä X11:tä, ja Wayland-tuki on paljon parempi). Käyttäjät voivat lisätä lisärajoituksia luomalla paikallisia sääntötiedostoja (~/.curtain.conf). Esimerkiksi,
Toteutus sisältää mac_curtain-ytimen moduulin pakollista pääsynhallintaa (MAC) varten, joukon korjaustiedostoja FreeBSD-ytimelle tarvittavien ajureiden ja suodattimien toteutuksella, libcurtain-kirjaston plegde- ja paljastettujen toimintojen käyttämiseen sovelluksissa, apuverhon, näyttää asetukset tiedostot, testisarja ja korjaustiedostot joillekin käyttäjäavaruusohjelmille (esimerkiksi $TMPDIR:n käyttämiseksi väliaikaisten tiedostojen työskentelyn yhtenäistämiseksi). Aina kun mahdollista, kirjoittaja yrittää minimoida ytimen ja sovellusten korjausta edellyttävien muutosten määrän.
Vihdoin jos olet kiinnostunut tietämään siitä lisää, voit tarkistaa yksityiskohdat Seuraavassa linkissä.