Ebben a példában egy viszonylag kicsi, nagyjából mindössze ötven felhasználós, adattárolásra használatos rendszert veszünk alapul. A felhasználók rendelkezhetnek bizonyos bejelentkezési tulajdonságokkal, és nem csak adatokat tudnak tárolni, hanem az erőforrásokhoz is hozzá tudnak férni.
Itt most a mac_bsdextended(4) és a mac_seeotheruids(4) modulokat vetjük be együttesen, és nem csak a rendszer objektumainak elérését tudjuk megakadályozni, hanem az egyes felhasználók futó programjait is elrejtjük.
A műveletet kezdjük azzal, hogy a
/boot/loader.conf
állományt
kibővítjük a következő
módon:
A mac_bsdextended(4) biztonsági modul az
alábbi
rc.conf
-változóval
hozható működésbe:
A hozzá tartozó alapértelmezett
szabálykészlet az
/etc/rc.bsdextended
állományban
tárolódik, amely pedig a rendszer
indítása során töltődik be. Ezeket
némileg módosítanunk kell majd. Mivel a
példában szereplő
számítógép csak a
felhasználók kiszolgálását
hivatott ellátni, az utolsó kettő
kivételével mindent hagyhatunk megjegyzésben.
Így kikényszerítjük
felhasználók által birtokolt
rendszerobjektumok alapértelmezés szerinti
betöltését.
Vegyük fel a szükséges
felhasználókat a
számítógépre és indítsuk
újra. Tesztelési célból
próbáljunk meg különböző
felhasználókként bejelentkezni két
konzolon. Futassuk le a ps aux
parancsot,
és így meg tudjuk figyelni, hogy mennyire
látjuk a többi felhasználót. Amikor
megpróbáljuk kiadni a ls(1) parancsot a
többiek felhasználói könyvtáraira,
akkor hibát kell kapnunk.
Ne próbálgassunk a root
felhasználóval, hacsak a megfelelő
sysctl
változókban be nem
állítottuk az ő
hozzáférésének
blokkolását is.
Amikor felveszük egy felhasználót a rendszerbe, a hozzá tartozó mac_bsdextended(4) szabály nem fog szerepelni a szabályrendszerben. A szabályrendszer gyors frissítését úgy tudjuk megoldani, ha a kldunload(8) használatával egyszerűen eltávolítjuk a biztonsági modult a memóriából és újratöltjük a kldload(8) paranccsal.
Ha kérdése van a FreeBSD-vel kapcsolatban, a
következő címre írhat (angolul):
<questions@FreeBSD.org>.
Ha ezzel a dokumentummal kapcsolatban van kérdése, kérjük erre a címre írjon:
<gabor@FreeBSD.org>.