फ्रीबीएसडीवर प्लेगडे सारखीच एक अलगाव यंत्रणा विकसित केली जात आहे

असे उघड झाले अंमलबजावणी प्रस्तावित केली आहे एक फ्रीबीएसडीसाठी ऍप्लिकेशन अलगाव यंत्रणा, जे OpenBSD प्रकल्पाद्वारे विकसित केलेल्या फोल्ड आणि अनावरण प्रणाली कॉलची आठवण करून देते.

ऍप्लिकेशनद्वारे वापरल्या जात नसलेल्या सिस्टीम कॉल्सवर प्रवेश प्रतिबंधित करून आणि ऍप्लिकेशन कार्य करू शकणार्‍या ठराविक फाईल पाथवर निवडकपणे ऍक्सेस उघडून उघड करून plegde मध्ये अलगाव केला जातो. अनुप्रयोगासाठी, सिस्टम कॉल आणि फाइल पथांची एक प्रकारची श्वेतसूची तयार केली जाते आणि इतर सर्व कॉल आणि मार्ग प्रतिबंधित आहेत.

दुमडलेला आणि अनावरण केलेला फरक, FreeBSD साठी विकसित, ते अतिरिक्त स्तर प्रदान करण्यासाठी खाली उकळते जे तुम्हाला अनुप्रयोगांना त्यांच्या कोडमध्ये कोणतेही किंवा कमीत कमी बदल न करता वेगळे करण्याची परवानगी देते. लक्षात ठेवा की OpenBSD plegde आणि unlock मध्ये बेस वातावरणाशी घट्ट एकीकरण करण्याचे उद्दिष्ट आहे आणि प्रत्येक ऍप्लिकेशनच्या कोडमध्ये विशेष भाष्ये जोडून त्याची अंमलबजावणी केली जाते.

संरक्षणाची संस्था सुलभ करण्यासाठी, फिल्टर तुम्हाला वैयक्तिक सिस्टम कॉल्सच्या स्तरावर तपशील टाळण्याची आणि सिस्टम कॉल्सच्या क्लासेसमध्ये फेरफार करण्याची परवानगी देतात (इनपुट/आउटपुट, फाइल रीड, फाइल राइट, सॉकेट्स, ioctl, sysctl, प्रक्रिया सुरू करणे इ.) . ऍप्लिकेशन कोडमध्ये प्रवेश प्रतिबंध फंक्शन्स कॉल केले जाऊ शकतात कारण काही क्रिया केल्या जातात, उदाहरणार्थ, सॉकेट्स आणि फाइल्समध्ये प्रवेश आवश्यक फाइल्स उघडल्यानंतर आणि नेटवर्क कनेक्शन स्थापित केल्यानंतर बंद केले जाऊ शकतात.

FreeBSD साठी फोल्ड आणि रिव्हल पोर्टचे लेखक अनियंत्रित अनुप्रयोगांना वेगळे करण्याची क्षमता प्रदान करण्याच्या हेतूने, ज्यासाठी पडदा उपयुक्तता प्रस्तावित आहे, जी अनुप्रयोगांना वेगळ्या फाईलमध्ये परिभाषित नियम लागू करण्यास अनुमती देते. प्रस्तावित कॉन्फिगरेशनमध्ये मूलभूत सेटिंग्ज असलेली फाइल समाविष्ट आहे जी सिस्टम कॉलचे वर्ग आणि विशिष्ट अनुप्रयोगांसाठी विशिष्ट फाइल पथ (ध्वनी, नेटवर्क, लॉगिंग इ. सह कार्य), तसेच विशिष्ट अनुप्रयोगांसाठी प्रवेश नियम असलेली फाइल समाविष्ट करते.

पडदा उपयुक्तता बहुतेक उपयुक्तता, सर्व्हर प्रक्रिया, ग्राफिकल ऍप्लिकेशन्स आणि अगदी संपूर्ण डेस्कटॉप सत्रे वेगळे करण्यासाठी वापरली जाऊ शकते ज्यात बदल केले गेले नाहीत. जेल आणि कॅप्सिकम उपप्रणालींद्वारे प्रदान केलेल्या अलगाव यंत्रणेसह पडदा सामायिक करणे समर्थित आहे.

तसेच नेस्टेड आयसोलेशन आयोजित करणे शक्य आहे, जेव्हा लाँच केलेले ऍप्लिकेशन मूळ ऍप्लिकेशनने सेट केलेले नियम वारसा घेतात, त्यांना स्वतंत्र निर्बंधांसह पूरक. काही कर्नल ऑपरेशन्स (डीबगिंग टूल्स, POSIX/SysV IPC, PTY) अतिरिक्तपणे बॅरियर मेकॅनिझमद्वारे संरक्षित केले जातात जे वर्तमान किंवा मूळ प्रक्रियेशिवाय इतर प्रक्रियेद्वारे तयार केलेल्या कर्नल ऑब्जेक्ट्समध्ये प्रवेश प्रतिबंधित करते.

एक प्रक्रिया curtainctl कॉल करून स्वतःचे अलगाव कॉन्फिगर करू शकते किंवा OpenBSD प्रमाणेच libcurtain लायब्ररीद्वारे प्रदान केलेल्या plegde() आणि unveil() फंक्शन्सचा वापर करून. अनुप्रयोग चालू असताना लॉक ट्रॅक करण्यासाठी 'security.curtain.log_level' sysctl प्रदान केले जाते.

पडदा सुरू करताना "-X"/"-Y" आणि "-W" पर्याय निर्दिष्ट करून X11 आणि Wayland प्रोटोकॉलमध्ये प्रवेश स्वतंत्रपणे सक्षम केला जातो, परंतु ग्राफिकल ऍप्लिकेशन्ससाठी समर्थन अद्याप पुरेसे स्थिर झालेले नाही आणि निराकरण न झालेल्या समस्यांची मालिका आहे ( X11 वापरताना समस्या प्रामुख्याने दिसून येतात आणि Wayland समर्थन अधिक चांगले आहे). वापरकर्ते स्थानिक नियम फाइल्स (~/.curtain.conf) तयार करून अतिरिक्त निर्बंध जोडू शकतात. उदाहरणार्थ,

अंमलबजावणीमध्ये अनिवार्य ऍक्सेस कंट्रोल (MAC) साठी mac_curtain कर्नल मॉड्यूल, आवश्यक ड्रायव्हर्स आणि फिल्टर्सच्या अंमलबजावणीसह FreeBSD कर्नलसाठी पॅचचा एक संच, ऍप्लिकेशन्समध्ये plegde आणि प्रकट फंक्शन्स वापरण्यासाठी libcurtain लायब्ररी, युटिलिटी पडदा, कॉन्फिगरेशन दर्शवते. फाइल्स, चाचण्यांचा संच आणि काही वापरकर्ता-स्पेस प्रोग्राम्ससाठी पॅचेस (उदाहरणार्थ, तात्पुरत्या फाइल्ससह कार्य करण्यासाठी $TMPDIR वापरण्यासाठी). जेव्हा शक्य असेल तेव्हा, लेखक कर्नल आणि ऍप्लिकेशन्स पॅच करणे आवश्यक असलेल्या बदलांची संख्या कमी करण्याचा प्रयत्न करतो.

शेवटी आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास, आपण तपशील तपासू शकता पुढील लिंकवर