Ia telah mendedahkan bahawa satu pelaksanaan telah dicadangkan satu mekanisme pengasingan aplikasi untuk FreeBSD, yang mengingatkan panggilan sistem lipatan dan dedah yang dibangunkan oleh projek OpenBSD.
Pengasingan dalam plegde dilakukan dengan melarang akses kepada panggilan sistem yang tidak digunakan oleh aplikasi dan mendedahkan dengan membuka akses secara terpilih hanya kepada laluan fail tertentu yang boleh digunakan oleh aplikasi. Untuk aplikasi, sejenis senarai putih panggilan sistem dan laluan fail dibentuk, dan semua panggilan dan laluan lain adalah dilarang.
Perbezaan antara dilipat dan tidak bertudung, dibangunkan untuk FreeBSD, ia bermula untuk menyediakan lapisan tambahan yang membolehkan anda mengasingkan aplikasi tanpa atau perubahan minimum pada kodnya. Ingat bahawa dalam OpenBSD ikrar dan buka kunci bertujuan untuk penyepaduan yang ketat dengan persekitaran asas dan dilaksanakan dengan menambahkan anotasi khas pada kod setiap aplikasi.
Untuk memudahkan organisasi perlindungan, penapis membolehkan anda mengelakkan butiran pada tahap panggilan sistem individu dan untuk memanipulasi kelas panggilan sistem (input/output, baca fail, tulis fail, soket, ioctl, sysctl, permulaan proses, dll) . Fungsi sekatan akses boleh dipanggil dalam kod aplikasi kerana tindakan tertentu dilakukan, contohnya, akses kepada soket dan fail boleh ditutup selepas membuka fail yang diperlukan dan mewujudkan sambungan rangkaian.
Pengarang lipatan dan mendedahkan port untuk FreeBSD bertujuan untuk menyediakan keupayaan untuk mengasingkan aplikasi sewenang-wenangnya, yang mana utiliti tirai dicadangkan, yang membenarkan penggunaan peraturan yang ditakrifkan dalam fail berasingan kepada aplikasi. Konfigurasi yang dicadangkan termasuk fail dengan tetapan asas yang mentakrifkan kelas panggilan sistem dan laluan fail tipikal khusus untuk aplikasi tertentu (bekerja dengan bunyi, rangkaian, pengelogan, dll.), serta fail dengan peraturan akses untuk aplikasi khusus.
Utiliti tirai boleh digunakan untuk mengasingkan kebanyakan utiliti, proses pelayan, aplikasi grafik, dan juga keseluruhan sesi desktop yang belum diubah suai. Berkongsi tirai dengan mekanisme pengasingan yang disediakan oleh subsistem Jail dan Capsicum disokong.
juga adalah mungkin untuk mengatur pengasingan bersarang, apabila aplikasi dilancarkan mewarisi peraturan yang ditetapkan oleh aplikasi induk, menambah mereka dengan kekangan yang berasingan. Sesetengah operasi kernel (alat penyahpepijatan, POSIX/SysV IPC, PTY) juga dilindungi oleh mekanisme penghalang yang menghalang akses kepada objek kernel yang dicipta oleh proses selain daripada proses semasa atau induk.
Sesuatu proses boleh mengkonfigurasi pengasingannya sendiri dengan memanggil curtainctl atau dengan menggunakan fungsi plegde() dan unveil() yang disediakan oleh perpustakaan libcurtain, serupa dengan OpenBSD. Sysctl 'security.curtain.log_level' disediakan untuk menjejak kunci semasa aplikasi sedang berjalan.
Akses kepada protokol X11 dan Wayland didayakan secara berasingan dengan menentukan pilihan "-X"/"-Y" dan "-W" apabila memulakan tirai, tetapi sokongan untuk aplikasi grafik belum cukup stabil dan mempunyai beberapa siri isu yang tidak dapat diselesaikan ( masalah muncul terutamanya apabila menggunakan X11, dan sokongan Wayland adalah lebih baik). Pengguna boleh menambah sekatan tambahan dengan mencipta fail peraturan tempatan (~/.curtain.conf). Sebagai contoh,
Pelaksanaan termasuk modul kernel mac_curtain untuk kawalan capaian mandatori (MAC), satu set patch untuk kernel FreeBSD dengan pelaksanaan pemacu dan penapis yang diperlukan, perpustakaan libcurtain untuk menggunakan fungsi plegde dan didedahkan dalam aplikasi, tirai utiliti, menunjukkan konfigurasi fail, set ujian dan tampalan untuk beberapa program ruang pengguna (contohnya, untuk menggunakan $TMPDIR untuk menyatukan kerja dengan fail sementara). Apabila boleh, pengarang cuba meminimumkan bilangan perubahan yang memerlukan penampalan kernel dan aplikasi.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.