Az OpenBSD currentben új funkció került megvalósításra. Az újdonság neve systrace és a rendszerhívások figyelésére, azok használatának korlátozására való.A systrace által használt policy interaktívan alakítható, így jelentősen megkönnyíti a listák elkészítését. Azok a műveletek, amelyek nincsenek bekonfigurálva az adott alkalmazáshoz riasztást generálnak, amely segítségével eldönthetjük, hogy az adott rendszerhívást engedélyezzük-e vagy sem.
A systrace segítségével az alkalmazások sandboxba, vagy homokozóba zárása is megoldható végre OpenBSD-n, amely a szerző szerint főleg a bináris terjesztésű programoknál lehet hasznos, hiszen ott nem minden esetben tudjuk, hogy mit is fog valójában csinálni az alkalmazás. De természetesen a nem megbízhatónak vélt szabad forráskódú programok bedobozolása is hasznos lehet bizonyos esetekben (bind? :).
A systrace behatolásdetektálásra is használható, hiszen segítségével egy távoli gépen futó programok figyelhetők, amelyek ha nem definiált műveletet próbálnak végrehajtani, riasztást indítanak el. Ezek a riasztások célszerűen egy központi számítógépben futnak össze, így figyelésük egyszerű.
A systrace már az OpenBSD -current része, tehát az az alaprendszerben elérhető.
Néhány alkalmazáshoz elérhetőek példa policy fájlok is (gaim, konq-e, mplayer). A systrace működik a Linux emulációval is, tehát Linuxos binárisok futtatását is lehet a segítségével monitorozni/korlátozni.
Kapcsolódó oldalak:
Niels Provos systrace weblapja
OpenBSD