FreeBSD ಗಾಗಿ, ಓಪನ್ಬಿಎಸ್ಡಿ ಯೋಜನೆಯಿಂದ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾದ ಪ್ಲೆಗ್ಡೆ ಮತ್ತು ಅನಾವರಣ ವ್ಯವಸ್ಥೆಯ ಕರೆಗಳನ್ನು ನೆನಪಿಸುವ ಅಪ್ಲಿಕೇಶನ್ ಐಸೋಲೇಶನ್ ಕಾರ್ಯವಿಧಾನದ ಅನುಷ್ಠಾನವನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ. ಅಪ್ಲಿಕೇಶನ್ನಲ್ಲಿ ಬಳಸದ ಸಿಸ್ಟಮ್ ಕರೆಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿಷೇಧಿಸುವ ಮೂಲಕ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ ಕೆಲಸ ಮಾಡಬಹುದಾದ ಪ್ರತ್ಯೇಕ ಫೈಲ್ ಪಾತ್ಗಳಿಗೆ ಮಾತ್ರ ಪ್ರವೇಶವನ್ನು ಆಯ್ದು ತೆರೆಯುವ ಮೂಲಕ ಅನಾವರಣಗೊಳಿಸುವ ಮೂಲಕ ಪ್ಲೆಗ್ಡೆಯಲ್ಲಿ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಸಾಧಿಸಲಾಗುತ್ತದೆ. ಅಪ್ಲಿಕೇಶನ್ಗಾಗಿ, ಸಿಸ್ಟಮ್ ಕರೆಗಳು ಮತ್ತು ಫೈಲ್ ಮಾರ್ಗಗಳ ಒಂದು ರೀತಿಯ ಬಿಳಿ ಪಟ್ಟಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ ಮತ್ತು ಎಲ್ಲಾ ಇತರ ಕರೆಗಳು ಮತ್ತು ಮಾರ್ಗಗಳನ್ನು ನಿಷೇಧಿಸಲಾಗಿದೆ.
FreeBSD ಗಾಗಿ ಅಭಿವೃದ್ಧಿಪಡಿಸಲಾಗುತ್ತಿರುವ ಪ್ಲೆಗ್ಡೆ ಮತ್ತು ಅನಾಲಾಗ್ನ ಅನಲಾಗ್ ನಡುವಿನ ವ್ಯತ್ಯಾಸವು ಹೆಚ್ಚುವರಿ ಲೇಯರ್ನ ನಿಬಂಧನೆಗೆ ಬರುತ್ತದೆ, ಅದು ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಅವುಗಳ ಕೋಡ್ಗೆ ಬದಲಾವಣೆಗಳನ್ನು ಮಾಡದೆ ಅಥವಾ ಕನಿಷ್ಠ ಬದಲಾವಣೆಗಳೊಂದಿಗೆ ಪ್ರತ್ಯೇಕಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಓಪನ್ಬಿಎಸ್ಡಿಯಲ್ಲಿ, ಪ್ಲೆಗ್ಡೆ ಮತ್ತು ಅನಾವರಣವು ಆಧಾರವಾಗಿರುವ ಪರಿಸರದೊಂದಿಗೆ ಬಿಗಿಯಾದ ಏಕೀಕರಣದ ಗುರಿಯನ್ನು ಹೊಂದಿದೆ ಮತ್ತು ಪ್ರತಿ ಅಪ್ಲಿಕೇಶನ್ನ ಕೋಡ್ಗೆ ವಿಶೇಷ ಟಿಪ್ಪಣಿಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಬಳಸಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ನೆನಪಿಸಿಕೊಳ್ಳಿ. ರಕ್ಷಣೆಯ ಸಂಘಟನೆಯನ್ನು ಸರಳಗೊಳಿಸಲು, ಫಿಲ್ಟರ್ಗಳು ವೈಯಕ್ತಿಕ ಸಿಸ್ಟಮ್ ಕರೆಗಳ ಮಟ್ಟದಲ್ಲಿ ವಿವರಗಳನ್ನು ವಿತರಿಸಲು ಮತ್ತು ಸಿಸ್ಟಮ್ ಕರೆಗಳ ವರ್ಗಗಳನ್ನು (ಇನ್ಪುಟ್/ಔಟ್ಪುಟ್, ಓದುವ ಫೈಲ್ಗಳು, ಫೈಲ್ಗಳನ್ನು ಬರೆಯುವುದು, ಸಾಕೆಟ್ಗಳು, ioctl, sysctl, ಪ್ರಕ್ರಿಯೆ ಉಡಾವಣೆ, ಇತ್ಯಾದಿ.) . ಕೆಲವು ಕ್ರಿಯೆಗಳನ್ನು ನಿರ್ವಹಿಸಿದಂತೆ ಅಪ್ಲಿಕೇಶನ್ ಕೋಡ್ನಲ್ಲಿ ಪ್ರವೇಶ ನಿರ್ಬಂಧ ಕಾರ್ಯಗಳನ್ನು ಕರೆಯಬಹುದು, ಉದಾಹರಣೆಗೆ, ಅಗತ್ಯ ಫೈಲ್ಗಳನ್ನು ತೆರೆದ ನಂತರ ಮತ್ತು ನೆಟ್ವರ್ಕ್ ಸಂಪರ್ಕವನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ ಸಾಕೆಟ್ಗಳು ಮತ್ತು ಫೈಲ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ನಿರಾಕರಿಸಬಹುದು.
FreeBSD ಗಾಗಿ ಪೋರ್ಟ್ ಆಫ್ ಪ್ಲೆಗ್ಡೆ ಮತ್ತು ಅನಾವರಣವು ಅನಿಯಂತ್ರಿತ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಪ್ರತ್ಯೇಕಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಒದಗಿಸಲು ಉದ್ದೇಶಿಸಿದೆ, ಇದಕ್ಕಾಗಿ ಪರದೆ ಉಪಯುಕ್ತತೆಯನ್ನು ಪ್ರಸ್ತಾಪಿಸಲಾಗಿದೆ, ಇದು ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಪ್ರತ್ಯೇಕ ಫೈಲ್ನಲ್ಲಿ ವ್ಯಾಖ್ಯಾನಿಸಲಾದ ನಿಯಮಗಳನ್ನು ಅನ್ವಯಿಸಲು ನಿಮಗೆ ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ. ಪ್ರಸ್ತಾವಿತ ಸಂರಚನೆಯು ಸಿಸ್ಟಮ್ ಕರೆಗಳ ವರ್ಗಗಳನ್ನು ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ (ಧ್ವನಿ, ನೆಟ್ವರ್ಕ್ ಸಂವಹನ, ಲಾಗಿಂಗ್, ಇತ್ಯಾದಿಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವುದು) ನಿರ್ದಿಷ್ಟವಾದ ವಿಶಿಷ್ಟ ಫೈಲ್ ಮಾರ್ಗಗಳನ್ನು ವ್ಯಾಖ್ಯಾನಿಸುವ ಮೂಲ ಸೆಟ್ಟಿಂಗ್ಗಳೊಂದಿಗೆ ಫೈಲ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ, ಜೊತೆಗೆ ನಿರ್ದಿಷ್ಟ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಪ್ರವೇಶ ನಿಯಮಗಳನ್ನು ಹೊಂದಿರುವ ಫೈಲ್.
ಹೆಚ್ಚಿನ ಮಾರ್ಪಡಿಸದ ಉಪಯುಕ್ತತೆಗಳು, ಸರ್ವರ್ ಪ್ರಕ್ರಿಯೆಗಳು, ಚಿತ್ರಾತ್ಮಕ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಮತ್ತು ಸಂಪೂರ್ಣ ಡೆಸ್ಕ್ಟಾಪ್ ಸೆಷನ್ಗಳನ್ನು ಪ್ರತ್ಯೇಕಿಸಲು ಪರದೆ ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಬಹುದು. ಜೈಲು ಮತ್ತು ಕ್ಯಾಪ್ಸಿಕಂ ಉಪವ್ಯವಸ್ಥೆಗಳು ಒದಗಿಸಿದ ಪ್ರತ್ಯೇಕತೆಯ ಕಾರ್ಯವಿಧಾನಗಳ ಜೊತೆಯಲ್ಲಿ ಪರದೆಯನ್ನು ಬಳಸಬಹುದು. ನೆಸ್ಟೆಡ್ ಐಸೊಲೇಶನ್ ಅನ್ನು ಸಂಘಟಿಸಲು ಸಹ ಸಾಧ್ಯವಿದೆ, ಪ್ರಾರಂಭಿಸಿದಾಗ ಅಪ್ಲಿಕೇಶನ್ಗಳು ಪೋಷಕ ಅಪ್ಲಿಕೇಶನ್ಗಾಗಿ ಹೊಂದಿಸಲಾದ ನಿಯಮಗಳನ್ನು ಆನುವಂಶಿಕವಾಗಿ ಪಡೆದುಕೊಳ್ಳುತ್ತವೆ, ಅವುಗಳನ್ನು ವೈಯಕ್ತಿಕ ನಿರ್ಬಂಧಗಳೊಂದಿಗೆ ಪೂರಕಗೊಳಿಸುತ್ತವೆ. ಕೆಲವು ಕರ್ನಲ್ ಕಾರ್ಯಾಚರಣೆಗಳು (ಡೀಬಗ್ ಮಾಡುವ ಸೌಲಭ್ಯಗಳು, POSIX/SysV IPC, PTY ಗಳು) ಹೆಚ್ಚುವರಿಯಾಗಿ ತಡೆಗೋಡೆ ಯಾಂತ್ರಿಕತೆಯಿಂದ ರಕ್ಷಿಸಲ್ಪಡುತ್ತವೆ, ಇದು ಪ್ರಸ್ತುತ ಅಥವಾ ಮೂಲ ಪ್ರಕ್ರಿಯೆಯಿಂದ ರಚಿಸದ ಕರ್ನಲ್ ವಸ್ತುಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ತಡೆಯುತ್ತದೆ.
ಒಂದು ಪ್ರಕ್ರಿಯೆಯು ಕರ್ಟೈನ್ಕ್ಟ್ಲ್ಗೆ ಕರೆ ಮಾಡುವ ಮೂಲಕ ಅಥವಾ ಓಪನ್ಬಿಎಸ್ಡಿಯಲ್ಲಿ ಕಂಡುಬರುವಂತೆಯೇ ಲಿಬ್ಕರ್ಟನ್ನ ಪ್ಲೆಗ್ಡೆ() ಮತ್ತು ಅನ್ವೆಲ್() ಕಾರ್ಯಗಳನ್ನು ಬಳಸಿಕೊಂಡು ತನ್ನದೇ ಆದ ಪ್ರತ್ಯೇಕತೆಯನ್ನು ಕಾನ್ಫಿಗರ್ ಮಾಡಬಹುದು. ಅಪ್ಲಿಕೇಶನ್ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಲಾಕ್ಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು, sysctl 'security.curtain.log_level' ಅನ್ನು ಒದಗಿಸಲಾಗಿದೆ. ಪರದೆಯನ್ನು ಚಲಾಯಿಸುವಾಗ "-X"/"-Y" ಮತ್ತು "-W" ಆಯ್ಕೆಗಳನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸುವ ಮೂಲಕ X11 ಮತ್ತು ವೇಲ್ಯಾಂಡ್ ಪ್ರೋಟೋಕಾಲ್ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಸಕ್ರಿಯಗೊಳಿಸಲಾಗುತ್ತದೆ, ಆದರೆ ಚಿತ್ರಾತ್ಮಕ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಬೆಂಬಲವು ಇನ್ನೂ ಸಾಕಷ್ಟು ಸ್ಥಿರವಾಗಿಲ್ಲ ಮತ್ತು ಹಲವಾರು ಪರಿಹರಿಸಲಾಗದ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿದೆ ( X11 ಅನ್ನು ಬಳಸುವಾಗ ಸಮಸ್ಯೆಗಳು ಮುಖ್ಯವಾಗಿ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತವೆ ಮತ್ತು ವೇಲ್ಯಾಂಡ್ ಬೆಂಬಲವನ್ನು ಉತ್ತಮವಾಗಿ ಅಳವಡಿಸಲಾಗಿದೆ). ಸ್ಥಳೀಯ ನಿಯಮಗಳ ಫೈಲ್ಗಳನ್ನು ರಚಿಸುವ ಮೂಲಕ ಬಳಕೆದಾರರು ಹೆಚ್ಚುವರಿ ನಿರ್ಬಂಧಗಳನ್ನು ಸೇರಿಸಬಹುದು (~/.curtain.conf). ಉದಾಹರಣೆಗೆ, ಫರ್ಫಾಕ್ಸ್ನಿಂದ ~/ಡೌನ್ಲೋಡ್ಗಳು/ ಡೈರೆಕ್ಟರಿಗೆ ಮಾತ್ರ ಬರೆಯುವುದನ್ನು ಅನುಮತಿಸಲು, ನೀವು “~/ಡೌನ್ಲೋಡ್ಗಳು/ : rw +” ನಿಯಮದೊಂದಿಗೆ “[ಫೈರ್ಫಾಕ್ಸ್]” ವಿಭಾಗವನ್ನು ಸೇರಿಸಬಹುದು.
ಅನುಷ್ಠಾನವು ಕಡ್ಡಾಯ ಪ್ರವೇಶ ನಿಯಂತ್ರಣಕ್ಕಾಗಿ (MAC, ಕಡ್ಡಾಯ ಪ್ರವೇಶ ನಿಯಂತ್ರಣ) mac_curtain ಕರ್ನಲ್ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ, ಅಗತ್ಯ ನಿರ್ವಾಹಕರು ಮತ್ತು ಫಿಲ್ಟರ್ಗಳ ಅನುಷ್ಠಾನದೊಂದಿಗೆ FreeBSD ಕರ್ನಲ್ಗಾಗಿ ಪ್ಯಾಚ್ಗಳ ಒಂದು ಸೆಟ್, ಪ್ಲೆಗ್ಡ್ ಅನ್ನು ಬಳಸಲು ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಲ್ಲಿ ಕಾರ್ಯಗಳನ್ನು ಅನಾವರಣಗೊಳಿಸಲು ಲಿಬ್ಕರ್ಟನ್ ಲೈಬ್ರರಿ, ಪರದೆಯ ಉಪಯುಕ್ತತೆ, ಉದಾಹರಣೆ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ಗಳು, ಬಳಕೆದಾರ ಜಾಗದಲ್ಲಿ ಕೆಲವು ಪ್ರೋಗ್ರಾಂಗಳಿಗೆ ಒಂದು ಸೆಟ್ ಪರೀಕ್ಷೆಗಳು ಮತ್ತು ಪ್ಯಾಚ್ಗಳು (ಉದಾಹರಣೆಗೆ, ತಾತ್ಕಾಲಿಕ ಫೈಲ್ಗಳೊಂದಿಗೆ ಕೆಲಸವನ್ನು ಏಕೀಕರಿಸಲು $TMPDIR ಅನ್ನು ಬಳಸುವುದಕ್ಕಾಗಿ). ಸಾಧ್ಯವಾದರೆ, ಕರ್ನಲ್ ಮತ್ತು ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಪ್ಯಾಚ್ಗಳ ಅಗತ್ಯವಿರುವ ಬದಲಾವಣೆಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಲೇಖಕರು ಉದ್ದೇಶಿಸಿದ್ದಾರೆ.
ಮೂಲ: opennet.ru