Ugotovljeno je bilo, da je bila predlagana izvedba po mehanizem izolacije aplikacij za FreeBSD, ki spominja na sistemske klice fold and unveil, ki jih je razvil projekt OpenBSD.
Izolacija v plegde se izvede s prepovedjo dostopa do sistemskih klicev, ki jih aplikacija ne uporablja, in razkritjem s selektivnim odpiranjem dostopa samo do določenih poti datotek, s katerimi lahko aplikacija deluje. Za aplikacijo se oblikuje nekakšen beli seznam sistemskih klicev in poti datotek, vsi drugi klici in poti pa so prepovedani.
Razlika med zloženim in razkritim, razvit za FreeBSD, se zmanjša na zagotavljanje dodatne plasti ki vam omogoča izolacijo aplikacij brez ali z minimalnimi spremembami njihove kode. Ne pozabite, da si v OpenBSD zavezujoče in odklepanje prizadevata za tesno integracijo z osnovnim okoljem in se izvajata z dodajanjem posebnih opomb k kodi vsake aplikacije.
Za poenostavitev organizacije zaščite vam filtri omogočajo, da se izognete podrobnostim na ravni posameznih sistemskih klicev in manipulirate z razredi sistemskih klicev (vhod/izhod, branje datoteke, pisanje datoteke, vtičnice, ioctl, sysctl, začetek procesov itd.) . Funkcije za omejitev dostopa lahko pokličete v kodi aplikacije, ko se izvajajo določena dejanja, na primer dostop do vtičnic in datotek je mogoče zapreti po odprtju potrebnih datotek in vzpostavitvi omrežne povezave.
Avtor vrat za zlaganje in razkrivanje za FreeBSD namenjen zagotavljanju zmožnosti izolacije poljubnih aplikacij, za katerega je predlagan pripomoček zavese, ki omogoča uporabo pravil, definiranih v ločeni datoteki za aplikacije. Predlagana konfiguracija vključuje datoteko z osnovnimi nastavitvami, ki določajo razrede sistemskih klicev in tipične poti datotek, značilne za določene aplikacije (delo z zvokom, omrežja, beleženje itd.), ter datoteko s pravili dostopa za specifične aplikacije.
Pripomoček za zaveso lahko uporabite za izolacijo večine pripomočkov, strežniških procesov, grafičnih aplikacij in celo celotnih namiznih sej, ki niso bile spremenjene. Podprto je deljenje zavese z izolacijskimi mehanizmi, ki jih zagotavljata podsistema Jail in Capsicum.
prav tako možno je organizirati ugnezdeno izolacijo, ko zagnane aplikacije podedujejo pravila, ki jih je nastavila nadrejena aplikacija, ki jih dopolnjujejo z ločenimi omejitvami. Nekatere operacije jedra (orodja za odpravljanje napak, POSIX/SysV IPC, PTY) so dodatno zaščitene z zapornim mehanizmom, ki preprečuje dostop do predmetov jedra, ki jih ustvarijo procesi, ki niso trenutni ali nadrejeni proces.
Proces lahko konfigurira svojo izolacijo s klicem curtainctl ali z uporabo funkcij plegde() in unveil(), ki jih ponuja knjižnica libcurtain, podobno kot OpenBSD. Sysctl 'security.curtain.log_level' je na voljo za sledenje ključavnicam, medtem ko se aplikacija izvaja.
Dostop do protokolov X11 in Wayland je omogočen ločeno z določitvijo možnosti "-X"/"-Y" in "-W" ob zagonu zavese, vendar podpora za grafične aplikacije še ni dovolj stabilizirana in ima vrsto nerešenih težav ( težave se pojavljajo predvsem pri uporabi X11, podpora Waylanda pa je veliko boljša). Uporabniki lahko dodajo dodatne omejitve z ustvarjanjem datotek lokalnih pravil (~/.curtain.conf). na primer
Izvedba vključuje modul jedra mac_curtain za obvezni nadzor dostopa (MAC), nabor popravkov za jedro FreeBSD z implementacijo potrebnih gonilnikov in filtrov, knjižnico libcurtain za uporabo plegde in razkritih funkcij v aplikacijah, pomožno zaveso, prikazuje konfiguracijo datoteke, zbirko testov in popravkov za nekatere programe uporabniškega prostora (na primer za uporabo $TMPDIR za poenotenje dela z začasnimi datotekami). Kadar koli je mogoče, poskuša avtor čim bolj zmanjšati število sprememb, ki zahtevajo popravek jedra in aplikacij.
Končno če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.