15.6. 用户锁定

此示例考虑一个用户少于 50 个的相对较小的存储系统。用户将具有登录功能,并被允许存储数据和访问资源。

在这种情况下, mac_bsdextended(4)mac_seeotheruids(4) 策略模块可以共存,并在隐藏用户进程时阻止对系统对象的访问。

首先将以下行添加到 /boot/loader.conf:

mac_seeotheruids_load="YES"

通过将这几行添加到 /etc/rc.conf 来激活 mac_bsdextended(4) 安全策略模块:

ugidfw_enable="YES"

默认规则保存在 /etc/rc.bsdextended 中, 并在系统初始化时加载; 但是, 其中的默认项可能需要进行一些改动。 因为这台机器只为获得了授权的用户提供服务, 因此除了最后两项之外, 其它内容都应保持注释的状态。 这两项规则将默认强制加载属于用户的系统客体。

将所需用户添加到此计算机并重新启动。出于测试目的, 请尝试跨两个控制台以不同用户的身份登录。运行 ps aux 以查看其他用户的进程是否可见。验证在其他用户的主目录上运行 ls(1) 是否会失败。

不要尝试使用 root 用户进行测试, 除非已修改特定 sysctls 以阻止超级用户访问。

注意:

添加新用户时,其 mac_bsdextended(4) 规则将不在规则集列表中。若要快速更新规则集,请卸载安全策略模块,然后使用 kldunload(8)kldload(8) 重新加载它。

本文档和其它文档可从这里下载: ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.

如果对于FreeBSD有问题,请先阅读 文档,如不能解决再联系 <questions@FreeBSD.org>.

关于本文档的问题请发信联系 <doc@FreeBSD.org>.