https://man.openbsd.org/unveil
https://man.openbsd.org/pledge.2
https://isopenbsdsecu.re/
Немного познакомился и почитал про всякие seccomp, Capsicum и pledge
штуки, даже что-то начал писать с их использованием. pledge пробовать не
буду, ибо нет под рукой OpenBSD, но выглядит он супер удобно и просто
устроенным! К seccomp даже страшно подходить. Capsicum довольно
специфичен (по сути только про файловые дескрипторы говорит) и не всё в
нём тривиально сделать. А когда гляжу в доки и примеры по pledge, то
слюни текут. Если capsicum-изация софта в FreeBSD идёт единичными
экземплярами софта в базовой поставке ОС, то использование pledge в
OpenBSD это прям десятки программ в день можно переводить. Конечно там
гранулярность правил не такая как в seccomp/Capsicum, но лучше чем
ничего и как же просто!
Теперь уже прям чувствую что понимаю как заморочена OpenBSD в плане
безопасности. Не факт что она там лучше, ибо возможно баги так себе
фиксят, и софт не лучший юзается, вообще древний GCC без всяких
security-aware фич, да и не все известные mitigation-ы внедрены -- но
идеи и течение мыслей в проекте и у Тео идут в нужном русле, сильно
опережая остальных во времени зачастую.