Для защиты от возможных ошибок в сторонних модулях аутентификации (например, удаленная root-уязвимость через OpenSSH в старых версиях FreeBSD из-за ошибки в libopie), разработчики OpenBSD реализовали новый режим изоляции «UsePrivilegeSeparation=sandbox», работающий на стадии до начала аутентификации и сброса привилегий.
Пока метод работает только в OpenBSD и использует систему systrace для ограничения числа допустимых системных вызовов. В будущих выпусках OpenBSD представленная опция будет использована по умолчанию. При использовании данной защиты в случае поражения через уязвимость в OpenSSH злоумышленник не сможет организовать атаку на локальную систему (например, эксплуатировать локальную уязвимость в ядре) и другие хосты (создать сокет, запустить прокси и т.п.).