Fyrir FreeBSD er lögð til útfærsla á einangrunarkerfi forrita, sem minnir á plegde og afhjúpunarkerfissímtöl sem þróuð voru af OpenBSD verkefninu. Einangrun í plegde er náð með því að banna aðgang að kerfissímtölum sem eru ekki notuð í forritinu, og í afhjúpun með því að opna sértækt aðeins aðgang að einstökum skráarslóðum sem forritið getur unnið með. Fyrir forritið er myndaður eins konar hvítur listi yfir kerfissímtöl og skráarslóðir og öll önnur símtöl og slóðir eru bönnuð.
Munurinn á hliðstæðu plegde og afhjúpun sem verið er að þróa fyrir FreeBSD kemur niður á því að útvega viðbótarlag sem gerir þér kleift að einangra forrit án þess að gera breytingar á kóða þeirra eða með lágmarksbreytingum. Mundu að í OpenBSD miða plegde og unveil að þéttri samþættingu við undirliggjandi umhverfi og eru notuð með því að bæta sérstökum athugasemdum við kóða hvers forrits. Til að einfalda skipulag verndar, leyfa síur þér að forðast nákvæmni á stigi einstakra kerfiskalla og vinna með flokka kerfiskalla (inntak/úttak, lestur skráa, skrifa skrár, innstungur, ioctl, sysctl, ræsingu ferlis o.s.frv.). Hægt er að kalla á aðgangstakmarkanir í forritakóðanum þar sem ákveðnar aðgerðir eru framkvæmdar, til dæmis er hægt að meina aðgangi að innstungum og skrám eftir að nauðsynlegar skrár eru opnaðar og nettengingu komið á.
Höfundur hafnarinnar plegde og afhjúpa fyrir FreeBSD ætlar að bjóða upp á getu til að einangra handahófskenndar umsóknir, sem tjaldforritið er lagt fyrir, sem gerir þér kleift að beita reglum sem skilgreindar eru í sérstakri skrá yfir forrit. Fyrirhuguð uppsetning inniheldur skrá með grunnstillingum sem skilgreina flokka kerfiskalla og dæmigerða skráarslóða sem eru sértækar fyrir ákveðin forrit (vinna með hljóð, netsamskipti, skráningu osfrv.), auk skráar með aðgangsreglum fyrir tiltekin forrit.
Gluggatjaldið er hægt að nota til að einangra flest óbreytt tól, netþjónaferli, grafísk forrit og jafnvel heilar skjáborðslotur. Hægt er að nota gluggatjöld í tengslum við einangrunarbúnaðinn sem undirkerfin Jail og Capsicum býður upp á. Það er líka hægt að skipuleggja hreiðraða einangrun, þegar opnuð forrit erfa reglurnar sem settar eru fyrir móðurforritið og bæta þeim við einstakar takmarkanir. Sumar kjarnaaðgerðir (kembiforrit, POSIX/SysV IPC, PTYs) eru að auki verndaðar með hindrunarkerfi sem kemur í veg fyrir aðgang að kjarnahlutum sem eru ekki búnir til með núverandi eða móðurferli.
Ferli getur stillt sína eigin einangrun með því að kalla curtainctl eða með því að nota plegde() og unveil() aðgerðir libcurtain, svipað þeim sem finnast í OpenBSD. Til að fylgjast með læsingum á meðan forritið er í gangi er sysctl „security.curtain.log_level“ til staðar. Aðgangur að X11 og Wayland samskiptareglunum er virkur sérstaklega með því að tilgreina „-X“/“-Y“ og „-W“ valkostina þegar gardínur eru í gangi, en stuðningur við grafísk forrit er ekki enn nægilega stöðugur og hefur fjölda óleyst vandamál ( vandamál koma aðallega fram þegar X11 er notað og Wayland stuðningur er útfærður mun betur). Notendur geta bætt við viðbótartakmörkunum með því að búa til staðbundnar reglurskrár (~/.curtain.conf). Til dæmis, til að leyfa skrif frá Firfox eingöngu í ~/Downloads/ möppuna, geturðu bætt við „[firefox]“ hluta með reglunni „~/Downloads/ : rw +“.
Útfærslan inniheldur mac_curtain kjarnaeininguna fyrir lögboðna aðgangsstýringu (MAC, Mandatory Access Control), sett af plástra fyrir FreeBSD kjarnann með útfærslu á nauðsynlegum meðhöndlum og síum, libcurtain bókasafnið til að nota plegde og afhjúpa aðgerðir í forritum, gluggatjöldin, dæmi um stillingarskrár, sett próf og plástra fyrir sum forrit í notendarými (til dæmis til að nota $TMPDIR til að sameina vinnu með tímabundnum skrám). Þar sem hægt er ætlar höfundur að lágmarka fjölda breytinga sem krefjast plástra á kjarnanum og forritunum.
Heimild: opennet.ru