ऐसा ज्ञात हुआ एक कार्यान्वयन प्रस्तावित किया गया है द्वारा फ्रीबीएसडी के लिए एप्लिकेशन अलगाव तंत्र, जो ओपनबीएसडी परियोजना द्वारा विकसित फोल्डडे और रिवील सिस्टम कॉल की याद दिलाता है।
फोल्ड आइसोलेशन उन सिस्टम कॉलों तक पहुंच को अस्वीकार करके पूरा किया जाता है जिनका उपयोग एप्लिकेशन में नहीं किया जाता है और चुनिंदा रूप से केवल कुछ फ़ाइल पथों को खोलकर एक्सेस खोला जाता है जिनके साथ एप्लिकेशन काम कर सकता है। एप्लिकेशन के लिए, सिस्टम कॉल और फ़ाइल पथों की एक प्रकार की श्वेतसूची बनाई जाती है, और अन्य सभी कॉल और पथ निषिद्ध हैं।
मुड़े हुए और खुले हुए के बीच का अंतर, फ्रीबीएसडी के लिए विकसित किया गया, एक अतिरिक्त परत प्रदान करने के लिए कम किया गया है जो आपको आपके कोड में न्यूनतम या बिना किसी बदलाव के एप्लिकेशन को अलग करने की अनुमति देता है। याद रखें कि ओपनबीएसडी में फोल्ड और अनलॉक का उद्देश्य बेस वातावरण के साथ मजबूत एकीकरण है और प्रत्येक एप्लिकेशन के कोड में विशेष एनोटेशन जोड़कर लागू किया जाता है।
सुरक्षा के संगठन को सरल बनाने के लिए, फ़िल्टर आपको व्यक्तिगत सिस्टम कॉल के स्तर पर विवरण से बचने और सिस्टम कॉल की कक्षाओं (इनपुट/आउटपुट, फ़ाइल रीड, फ़ाइल राइट, सॉकेट, ioctl, sysctl, प्रक्रियाओं की शुरुआत, आदि) में हेरफेर करने की अनुमति देते हैं। ) एक्सेस प्रतिबंध फ़ंक्शंस को एप्लिकेशन कोड में कॉल किया जा सकता है क्योंकि कुछ क्रियाएं की जाती हैं, उदाहरण के लिए आवश्यक फ़ाइलों को खोलने और नेटवर्क कनेक्शन स्थापित करने के बाद सॉकेट और फ़ाइलों तक पहुंच बंद की जा सकती है।
फ्रीबीएसडी के लिए फोल्ड पोर्ट और रिवील के लेखक इसका उद्देश्य मनमाने अनुप्रयोगों को अलग करने की क्षमता प्रदान करना है, जिसके लिए पर्दा उपयोगिता प्रस्तावित है, जो एक अलग फ़ाइल में परिभाषित नियमों को अनुप्रयोगों पर लागू करने की अनुमति देती है। प्रस्तावित कॉन्फ़िगरेशन में बुनियादी सेटिंग्स वाली एक फ़ाइल शामिल है जो सिस्टम कॉल की कक्षाओं और कुछ अनुप्रयोगों (ध्वनि, नेटवर्किंग, रजिस्ट्री इत्यादि के साथ काम) के लिए विशिष्ट फ़ाइल पथों को परिभाषित करती है, साथ ही अनुप्रयोगों के लिए एक्सेस नियमों वाली एक फ़ाइल भी शामिल है। विशिष्ट।
पर्दा उपयोगिता का उपयोग अधिकांश उपयोगिताओं, सर्वर प्रक्रियाओं, ग्राफिकल अनुप्रयोगों और यहां तक कि संपूर्ण डेस्कटॉप सत्रों को अलग करने के लिए किया जा सकता है जिन्हें संशोधित नहीं किया गया है। पर्दा साझाकरण जेल और कैप्सिकम उपप्रणालियों द्वारा प्रदान किए गए अलगाव तंत्र के साथ समर्थित है।
भी नेस्टेड अलगाव की व्यवस्था करना संभव है, जब प्रारंभ किए गए एप्लिकेशन मूल एप्लिकेशन द्वारा निर्धारित नियमों को प्राप्त करते हैं, उन्हें अलग-अलग प्रतिबंधों के साथ पूरक करना। कुछ कर्नेल ऑपरेशन (डीबगिंग टूल, POSIX/SysV IPC, PTY) अतिरिक्त रूप से एक बाधा तंत्र द्वारा संरक्षित होते हैं जो वर्तमान या मूल प्रक्रिया के अलावा अन्य प्रक्रियाओं द्वारा बनाए गए कर्नेल ऑब्जेक्ट तक पहुंच को रोकता है।
एक प्रक्रिया कर्टेनक्टल को कॉल करके अपना स्वयं का अलगाव निर्धारित कर सकती है या OpenBSD के समान, libcurtain लाइब्रेरी द्वारा प्रदान किए गए फ़ोल्ड () और अनावरण () फ़ंक्शंस का उपयोग करके। एप्लिकेशन चलने के दौरान क्रैश पर नज़र रखने के लिए sysctl 'security.curtain.log_level' प्रदान किया गया है।
पर्दा शुरू करते समय "-X"/"-Y" और "-W" विकल्पों को निर्दिष्ट करके X11 और वेलैंड प्रोटोकॉल तक पहुंच अलग से सक्षम की जाती है, लेकिन ग्राफ़िकल अनुप्रयोगों के लिए समर्थन अभी भी पर्याप्त रूप से स्थिर नहीं है और इसमें अनसुलझे मुद्दों की एक श्रृंखला है (समस्याएं ज्यादातर X11 का उपयोग करते समय दिखाई देती हैं, और वेलैंड समर्थन बहुत बेहतर है)। उपयोगकर्ता स्थानीय नियम फ़ाइलें (~/.curtain.conf) बनाकर अतिरिक्त प्रतिबंध जोड़ सकते हैं। उदाहरण के लिए,
कार्यान्वयन में अनिवार्य एक्सेस कंट्रोल (MAC) के लिए mac_curtain कर्नेल मॉड्यूल, आवश्यक ड्राइवर और फ़िल्टर के कार्यान्वयन के साथ FreeBSD कर्नेल के लिए पैच का एक सेट, अनुप्रयोगों में फोल्ड और प्रकट कार्यों का उपयोग करने के लिए libcurtain लाइब्रेरी, उपयोगिता पर्दा, शो शामिल हैं उपयोगकर्ता स्थान में कुछ प्रोग्रामों के लिए कॉन्फ़िगरेशन फ़ाइलें, एक परीक्षण सूट और पैच (उदाहरण के लिए, अस्थायी फ़ाइलों के साथ काम को एकीकृत करने के लिए $TMPDIR का उपयोग करना)। जब भी संभव हो, लेखक का लक्ष्य उन परिवर्तनों की संख्या को कम करना है जिनके लिए कर्नेल और अनुप्रयोगों की पैचिंग की आवश्यकता होती है।
अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में