L'appel système unveil limite l'appel open du système de fichiers à un ensemble donné de chemins. Il étend l'idée de pledge : limiter simplement les programmes à l'ouverture est insuffisant, parce qu' open est valide pour l'ensemble du système de fichiers.

Par exemple, pourquoi un programme tel que passwd(1) aurait accès à votre système de fichiers hors /etc/passwd et /etc/shadow ? S'il y a un bogue de sécurité dans passwd ainsi les effets pourraient être limités.

Des détails :

• Cette fonction est apparue dans OpenBSD 6.4.
• unveil(2) - Page du manuel OpenBSD
• passwd(1) - Page du manuel OpenBSD
• src/local_passwd.c GitHub