A BSD operációs rendszerekhez nem igazán jelennek meg harmadik személy által kiadott patchek, de ha ez mégis megtörténik és hasznosnak, használhatónak bizonyul a kezdeményezés, sok esetben a projekt CVS-ében köt ki az eredmény (lásd TrustedBSD). Most egy újabb patch jelent meg, ezúttal Przemyslaw Frasunektől. Kíváncsian várjuk a modullal kapcsolatos további fejleményeket.A biztonsági listákat olvasóknak biztosan ismerősen cseng a név, hiszen jópár hibáról kaptunk értesítést "venglin"-től, elsősorban FreeBSD-vel kapcsolatosan. Frasuneknek már volt egy régebbi projektje, az rexec, amely különféle exploitok ellen próbált védelmet nyújtani. A mostani modul - a Cerber - gyakorlatilag ennek a továbbfejlesztése.
A Cerber a következő rendszerhívások működését tudja befolyásolni:
execve(), ptrace(), open(), chmod(), lchmod(), fchmod(), kldload(), kldunload(),unlink(), __sysctl(), unlink(), link(), symlink(), kill(), mount(), umount(), chflags(), fchflags(), rename(), chown(), lchown(), fchown(), ioctl(), setuid(), setgid(), seteuid(), setegid(), setreuid(), setregid(), setresuid(), setresgid().
Megszabhatjuk, hogy milyen programok futtatását engedélyezzük, azok milyen más fájlokat indíthatnak, illetve azt is, hogy mindezt mely UID teheti meg. Ugyanígy a többi felsorolt syscallra is hasonló szabályok húzhatók, így biztosítva, hogy egy esetleges betörés esetén a rendszer még egy plusz szintet adjon a többi védelem fölé.
A beállítások sysctleken keresztül történnek, így a rendszer indításakor ezeket kultúráltan elvégezhetjük. A Cerber a rendszerhívások tiltásán kívül a naplózás feladatát is megoldja.
A projekt weblapja a Sourceforge-on található. A dokumentáció pedig itt.