Odhalilo sa, že bola navrhnutá implementácia О mechanizmus izolácie aplikácií pre FreeBSD, čo pripomína systémové volania fold and unveil vyvinuté projektom OpenBSD.
Izolácia v plegde sa vykonáva zakázaním prístupu k systémovým volaniam, ktoré aplikácia nepoužíva, a sprístupnením selektívnym otvorením prístupu iba k určitým cestám k súborom, s ktorými môže aplikácia pracovať. Pre aplikáciu sa vytvára akýsi biely zoznam systémových volaní a ciest k súborom a všetky ostatné volania a cesty sú zakázané.
Rozdiel medzi zloženým a nezahaleným, vyvinuté pre FreeBSD, scvrkáva sa na poskytnutie ďalšej vrstvy ktorý vám umožňuje izolovať aplikácie bez akýchkoľvek alebo minimálnych zmien v ich kóde. Pamätajte, že v OpenBSD sľuby a odomknutia sa zameriavajú na tesnú integráciu so základným prostredím a sú implementované pridaním špeciálnych anotácií do kódu každej aplikácie.
Na zjednodušenie organizácie ochrany vám filtre umožňujú vyhnúť sa detailom na úrovni jednotlivých systémových volaní a manipulovať s triedami systémových volaní (vstup/výstup, čítanie súborov, zápis súborov, zásuvky, ioctl, sysctl, spustenie procesov atď.) . Funkcie obmedzenia prístupu možno volať v kóde aplikácie, keď sa vykonávajú určité akcie, napríklad prístup k zásuvkám a súborom možno zatvoriť po otvorení potrebných súborov a vytvorení sieťového pripojenia.
Autor záhybu a odhalenia portu pre FreeBSD určené na poskytnutie schopnosti izolovať ľubovoľné aplikácie, pre ktorú sa navrhuje obslužný program záclony, ktorý umožňuje aplikovať pravidlá definované v samostatnom súbore na aplikácie. Navrhovaná konfigurácia obsahuje súbor so základnými nastaveniami, ktoré definujú triedy systémových volaní a typické cesty k súborom špecifické pre určité aplikácie (práca so zvukom, siete, protokolovanie atď.), ako aj súbor s pravidlami prístupu pre špecifické aplikácie.
Obslužný program záclony možno použiť na izoláciu väčšiny pomôcok, serverových procesov, grafických aplikácií a dokonca aj celých relácií pracovnej plochy, ktoré neboli upravené. Podporuje sa zdieľanie závesu s izolačnými mechanizmami, ktoré poskytujú podsystémy Jail a Capsicum.
tiež je možné organizovať vnorenú izoláciu, pri spustení aplikácie zdedia pravidlá nastavené nadradenou aplikáciou, ich doplnením o samostatné obmedzenia. Niektoré operácie jadra (nástroje na ladenie, POSIX/SysV IPC, PTY) sú navyše chránené bariérovým mechanizmom, ktorý bráni prístupu k objektom jadra vytvoreným inými procesmi, ako je aktuálny alebo nadradený proces.
Proces môže nakonfigurovať svoju vlastnú izoláciu volaním shutterctl alebo pomocou funkcií plegde() a unveil() poskytovaných knižnicou libcurtain, podobne ako OpenBSD. Systém sysctl 'security.curtain.log_level' slúži na sledovanie zámkov počas spustenia aplikácie.
Prístup k protokolom X11 a Wayland je povolený samostatne zadaním možností "-X"/"-Y" a "-W" pri spustení clony, ale podpora pre grafické aplikácie ešte nie je dostatočne stabilizovaná a má sériu nevyriešených problémov ( problémy sa objavujú hlavne pri používaní X11 a podpora Wayland je oveľa lepšia). Používatelia môžu pridať ďalšie obmedzenia vytvorením súborov lokálnych pravidiel (~/.curtain.conf). Napríklad,
Implementácia obsahuje modul jadra mac_curtain pre povinné riadenie prístupu (MAC), sadu záplat pre jadro FreeBSD s implementáciou potrebných ovládačov a filtrov, knižnicu libcurtain na používanie plegde a odhalených funkcií v aplikáciách, opona, ukazuje konfiguráciu súbory, sadu testov a záplat pre niektoré programy v užívateľskom priestore (napríklad na použitie $TMPDIR na zjednotenie práce s dočasnými súbormi). Vždy, keď je to možné, sa autor snaží minimalizovať počet zmien, ktoré si vyžadujú opravu jadra a aplikácií.
Konečne ak máte záujem dozvedieť sa o tom viac, môžete skontrolovať podrobnosti Na nasledujúcom odkaze.