Для OpenSSH реализована поддержка изоляции на этапе до начала аутентификации

Для защиты от возможных ошибок в сторонних модулях аутентификации (к примеру, удаленная root-уязвимость ⁰ ч/з OPENSSH в старых версиях FREEBSD из-за ошибки в libopie), разработчики OPENBSD реализовали новый режим изоляции "USEPRIVILEGESEPARATION=sandbox", работающий на стадии до начала аутентификации и сброса привилегий.

Пока способ работает лишь в OPENBSD и использует систему systrace для ограничения количества допустимых системных вызовов. В будущих выпусках OPENBSD представленная опция будет использована изначально. При использовании данной защиты в случае поражения ч/з уязвимость в OPENSSH злоумышленник не сумеет организовать атаку на локальную систему (к примеру, эксплуатировать локальную уязвимость в ядре) и иные хосты (сделать сокет, запустить прокси и т.п.).