FreeBSD Handbook/Administração/MAC/Amarração de Usuários

Este exemplo considera um sistema para armazenamento relativamente pequeno, com menos de cinqüenta usuários. Os usuários teriam direitos de login e teriam permissão não apenas de armazenar dados, mas de acessar recursos também.

Para este cenário o mac_bsdextended(4) em conjunto com o mac_seeotheruids(4) poderia coexistir e bloquear acesso não apenas a objetos do sistema mas também esconder processos de usuários.

Comece adicionando as seguintes linhas ao /boot/loader.conf:

 mac_seeotheruids_enabled="YES"

O módulo de política de segurança mac_bsdextended(4) pode ser ativado através do uso da seguinte variável no arquivo rc.conf:

 ugidfw_enable="YES"

Regras padrão definidas em /etc/rc.bsdextended serão carregadas durante a inicialização do sistema, contudo, as definições padrão podem precisar ser modificadas. Como esta máquina deverá apenas servir a usuários, tudo pode ser deixado comentado, exceto as duas últimas configurações. Estas forçarão por padrão a carga de objetos do sistema de propriedade de usuários.

Adicione os usuários necessários à máquina e reinicie o sistema. Para propósitos de teste, tente se logar com usuários diferentes em duas consoles. Execute o comando ps aux para ver se os processos do outro usuário estão visíveis. Tente executar um ls(1) no diretório pessoal do outro usuário, isso deve falhar.

Não tente testar com o usuário root, a não ser que opções de sysctl específicas tenham sido modificadas para bloquear o acesso do super usuário.

Nota: Quando um novo usuário é adicionado, sua regra de mac_bsdextended(4) não estará na lista de regras. Para atualizar rapidamente a lista de regras, simplesmente desative e reative o módulo de política de segurança novamente com os utilitários kldunload(8) e kldload(8).