Buvo atskleista, kad buvo pasiūlytas įgyvendinimas pagal „FreeBSD“ programos izoliavimo mechanizmas, kuris primena OpenBSD projekto sukurtus fold and unveil sistemos iškvietimus.
Plegde išskyrimas atliekamas uždraudžiant prieigą prie sistemos skambučių, kurių programa nenaudoja, ir atskleidžiant pasirinktinai atidarant prieigą tik prie tam tikrų failų kelių, su kuriais programa gali dirbti. Programai sudaromas tam tikras sistemos iškvietimų ir failų kelių baltasis sąrašas, o visi kiti skambučiai ir keliai yra draudžiami.
Skirtumas tarp sulankstyto ir atidengto, sukurta FreeBSD, tai sudaro papildomą sluoksnį leidžia išskirti programas be jokių arba minimaliai pakeitusių jų kodą. Atminkite, kad OpenBSD programoje plegde ir unlock siekia glaudžiai integruoti su bazine aplinka ir yra įgyvendinami pridedant specialius komentarus prie kiekvienos programos kodo.
Siekiant supaprastinti apsaugos organizavimą, filtrai leidžia išvengti detalių atskirų sistemos iškvietimų lygiu ir manipuliuoti sistemos iškvietimų klasėmis (įvestis / išvestis, failų skaitymas, failo rašymas, lizdai, ioctl, sysctl, procesų pradžia ir kt.) . Prieigos apribojimo funkcijos gali būti iškviestos programos kode, nes atliekami tam tikri veiksmai, pavyzdžiui, prieiga prie lizdų ir failų gali būti uždaryta atidarius reikiamus failus ir užmezgus tinklo ryšį.
„FreeBSD“ lankstymo ir atskleidimo prievado autorius skirtas suteikti galimybę atskirti savavališkas programas, kuriam siūloma užuolaidų programa, leidžianti programoms taikyti atskirame faile apibrėžtas taisykles. Siūloma konfigūracija apima failą su pagrindiniais parametrais, kurie apibrėžia sistemos iškvietimų klases ir tipinius failų kelius, būdingus tam tikroms programoms (darbas su garsu, tinklais, registravimas ir kt.), taip pat failą su prieigos taisyklėmis konkrečioms programoms.
Užuolaidų programa gali būti naudojama norint atskirti daugumą paslaugų, serverio procesų, grafinių programų ir net ištisas darbalaukio sesijas, kurios nebuvo modifikuotos. Palaikomas bendras uždanga su izoliavimo mechanizmais, kuriuos teikia Jail ir Capsicum posistemiai.
taip pat galima organizuoti įdėtą izoliaciją, paleidžiamos programos paveldi pagrindinės programos nustatytas taisykles, papildant juos atskirais apribojimais. Kai kurios branduolio operacijos (derinimo įrankiai, POSIX/SysV IPC, PTY) yra papildomai apsaugotos barjeriniu mechanizmu, kuris neleidžia pasiekti branduolio objektų, sukurtų kitų procesų nei dabartinis arba pirminis procesas.
Procesas gali konfigūruoti savo izoliaciją iškviesdamas curtainctl arba naudojant libcurtain bibliotekos teikiamas funkcijas plegde() ir unveil(), panašias į OpenBSD. „Security.curtain.log_level“ sysctl yra skirtas sekti užraktus, kai programa veikia.
Prieiga prie X11 ir Wayland protokolų įjungiama atskirai nurodant "-X"/"-Y" ir "-W" parinktis paleidžiant užuolaidą, tačiau grafinių programų palaikymas dar nėra pakankamai stabilizuotas ir turi daugybę neišspręstų problemų ( problemų atsiranda daugiausia naudojant X11, o „Wayland“ palaikymas yra daug geresnis). Vartotojai gali pridėti papildomų apribojimų kurdami vietinių taisyklių failus (~/.curtain.conf). Pavyzdžiui,
Diegimas apima mac_curtain branduolio modulį, skirtą privalomai prieigos kontrolei (MAC), FreeBSD branduolio pataisų rinkinį su būtinų tvarkyklių ir filtrų įdiegimu, libcurtain biblioteką, skirtą naudoti plegde ir atskleistas funkcijas programose, naudingumo uždangą, rodo konfigūraciją. failus, testų rinkinį ir kai kurių vartotojo erdvės programų pataisas (pavyzdžiui, norint naudoti $TMPDIR darbui su laikinais failais suvienodinti). Kai tik įmanoma, autorius stengiasi sumažinti pakeitimų, kuriems reikia pataisyti branduolį ir programas, skaičių.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.