Ortaya çıktı ki bir uygulama önerildi Bir FreeBSD için uygulama izolasyon mekanizmasıOpenBSD projesi tarafından geliştirilen katlama ve açma sistem çağrılarını anımsatan .
Plegde'de izolasyon, uygulama tarafından kullanılmayan sistem çağrılarına erişimin yasaklanması ve yalnızca uygulamanın çalışabileceği belirli dosya yollarına seçici olarak erişim açılmasıyla ifşa edilmesiyle yapılır. Uygulama için, bir tür sistem çağrıları ve dosya yolları beyaz listesi oluşturulur ve diğer tüm çağrılar ve yollar yasaktır.
Katlanmış ve açılmamış arasındaki fark, FreeBSD için geliştirildi, ekstra bir katman sağlamak için kaynar bu, kodlarında hiç veya çok az değişiklik yapmadan uygulamaları izole etmenize olanak tanır. OpenBSD'de plegde and unlock'ın temel ortamla sıkı bir bütünleşmeyi amaçladığını ve her uygulamanın koduna özel açıklamalar eklenerek uygulandığını unutmayın.
Koruma organizasyonunu basitleştirmek için filtreler, bireysel sistem çağrıları düzeyinde ayrıntılardan kaçınmanıza ve sistem çağrılarının sınıflarını (giriş/çıkış, dosya okuma, dosya yazma, soketler, ioctl, sysctl, işlemlerin başlangıcı, vb.) . Erişim kısıtlama işlevleri, belirli eylemler gerçekleştirildiği için uygulama kodunda çağrılabilir, örneğin, gerekli dosyalar açıldıktan ve bir ağ bağlantısı kurulduktan sonra soketlere ve dosyalara erişim kapatılabilir.
FreeBSD için katlama ve açıklama bağlantı noktasının yazarı keyfi uygulamaları izole etme yeteneği sağlamayı amaçlayan, Bunun için ayrı bir dosyada tanımlanan kuralların uygulamalara uygulanmasını sağlayan perde yardımcı programı önerilmiştir. Önerilen yapılandırma, sistem çağrılarının sınıflarını ve belirli uygulamalara özgü tipik dosya yollarını (sesle çalışma, ağlar, günlük kaydı, vb.) tanımlayan temel ayarlara sahip bir dosyanın yanı sıra, uygulamalara özel erişim kurallarına sahip bir dosya içerir.
Perde yardımcı programı, çoğu yardımcı programı, sunucu işlemlerini, grafik uygulamalarını ve hatta değiştirilmemiş tüm masaüstü oturumlarını izole etmek için kullanılabilir. Jail ve Capsicum alt sistemlerinin sağladığı izolasyon mekanizmaları ile paylaşımlı perde desteklenmektedir.
ayrıca iç içe izolasyon organize etmek mümkündür, başlatılan uygulamalar, ana uygulama tarafından belirlenen kuralları devraldığında, bunları ayrı kısıtlamalarla desteklemek. Bazı çekirdek işlemleri (hata ayıklama araçları, POSIX/SysV IPC, PTY), mevcut veya ana işlem dışındaki işlemler tarafından oluşturulan çekirdek nesnelerine erişimi engelleyen bir bariyer mekanizması tarafından ek olarak korunur.
Bir süreç, perdectl'yi çağırarak kendi izolasyonunu yapılandırabilir. veya OpenBSD'lere benzer şekilde libcurtain kitaplığı tarafından sağlanan plegde() ve unveil() işlevlerini kullanarak. 'security.curtain.log_level' sysctl, uygulama çalışırken kilitleri izlemek için sağlanmıştır.
Perde başlatılırken "-X"/"-Y" ve "-W" seçenekleri belirlenerek X11 ve Wayland protokollerine erişim ayrı ayrı etkinleştirilir, ancak grafik uygulamaları için destek henüz yeterince kararlı değildir ve bir dizi çözülmemiş sorun vardır ( sorunlar çoğunlukla X11 kullanırken ortaya çıkıyor ve Wayland desteği çok daha iyi). Kullanıcılar yerel kural dosyaları (~/.curtain.conf) oluşturarak ek kısıtlamalar ekleyebilirler. Örneğin,
Uygulama, zorunlu erişim kontrolü (MAC) için mac_curtain çekirdek modülünü, gerekli sürücülerin ve filtrelerin uygulanmasıyla FreeBSD çekirdeği için bir dizi yama, uygulamalarda plegde ve açığa çıkan işlevlerin kullanılması için libcurtain kitaplığı, yardımcı program perdesi, yapılandırmayı gösterir dosyalar, bir dizi test ve bazı kullanıcı alanı programları için yamalar (örneğin, geçici dosyalarla çalışmayı birleştirmek için $TMPDIR kullanmak için). Mümkün olduğunda, yazar, çekirdeğe ve uygulamalara yama yapılmasını gerektiren değişikliklerin sayısını en aza indirmeye çalışır.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.