Разработчики OpenBSD реализовали новый режим изоляции "UsePrivilegeSeparation=sandbox", использующий rlimit и systrace для более жесткой изоляции кода, работающего на стадии до начала аутентификации (pre-auth privsep child). Новые ограничения задействованы в дополнение к уже используемому сбросу прав до непривилегированного пользователя и помещению процесса в chroot-окружение /var/empty, которые, например, не могли препятствовать выполнению системных вызовов к ядру и использованию сокетов.
Пока метод работает только в OpenBSD и использует систему systrace для ограничения числа допустимых системных вызовов. В будущих выпусках OpenBSD представленная опция будет использована по умолчанию. Для других систем представлен модуль-заглушка, который позволяет задействовать подсистемы ограничения системных вызовов других ОС. При использовании данной защиты в случае поражения через уязвимость в OpenSSH злоумышленник не сможет организовать атаку на локальную систему (например, эксплуатировать локальную уязвимость в ядре для повышения прав) и другие хосты (создать сокет, запустить прокси и т.п.).
Дополнительно, подготовлена универсальная реализация упрощенного sandbox, использующая setrlimit для установки в ноль лимитов на число файловых дескрипторов, число процессов и размер создаваемого файла.