Este exemplo considera um sistema de armazenamento relativamente pequeno com menos de cinquenta usuários. Os usuários terão recursos de login e terão permissão para armazenar dados e acessar recursos.

Para este cenário, os módulos de política mac_bsdextended(4) e mac_seeotheruids(4) podem coexistir e bloquear o acesso a objetos do sistema enquanto ocultam processos do usuário.

Comece adicionando a seguinte linha ao /boot/loader.conf:

mac_seeotheruids_load="YES"

O módulo de política de segurança mac_bsdextended(4) pode ser ativado adicionando esta linha ao arquivo /etc/rc.conf:

ugidfw_enable="YES"

As regras padrões armazenadas em /etc/rc.bsdextended serão carregadas na inicialização do sistema. No entanto, as entradas padrões podem precisar de modificação. Como esta máquina é destinada apenas para servir os usuários, tudo pode ser deixado comentado, exceto as duas últimas linhas, a fim de forçar o carregamento de objetos do sistema de propriedade do usuário por padrão.

Adicione os usuários necessários a esta máquina e reinicie. Para fins de teste, tente efetuar login como um usuário diferente em dois consoles. Execute ps aux para ver se os processos de outros usuários estão visíveis. Verifique se a execução do ls(1) no diretório inicial de outro usuário falha.

Não tente testar com o usuário root, a menos que o sysctl específico tenha sido modificado para bloquear o acesso do superusuário.