Имя модуля: mac_bsdextended.ko
Строка конфигурации ядра: options MAC_BSDEXTENDED
Параметр загрузки: mac_bsdextended_load="YES"
Модуль mac_bsdextended(4)
включает брандмауэр файловой системы. Политика этого модуля является расширением
стандартной модели разрешений файловой системы, позволяя администратору создавать набор
правил для защиты файлов, утилит и каталогов иерархии файловой системы в стиле
брандмауэра.
Политика может быть создана с помощью утилиты, ugidfw(8), синтаксис
которой похож на синтаксис ipfw(8). Другие
инструменты могут быть написаны с использованием функций библиотеки libugidfw(3).
При работе с этим модулем необходимо соблюдать особую осторожность; некорректное его
использование может заблокировать доступ к отдельным частям файловой системы.
После загрузки модуля mac_bsdextended(4) для
просмотра текущей настройки правил может быть использована следующая команда:
# ugidfw list
0 slots, 0 rules
Как и можно было ожидать, правила не определены. Это означает, что доступ полностью
открыт. Для создания правила, которое заблокирует доступ всех пользователей, но не
повлияет на root, просто запустите следующую команду:
# ugidfw add subject not uid root new object not uid root mode n
Замечание: В релизах FreeBSD до 5.3, параметр add
не существует. Вместо него необходимо использовать set.
Пример дан ниже.
Это очень плохая идея, поскольку такое правило запретит пользователям использовать
даже самые простые команды, такие как ls. Более патриотический
список правил может быть таким:
# ugidfw set 2 subject uid user1 object uid user2 mode n
# ugidfw set 3 subject uid user1 object gid user2 mode n
Эти команды запретят весь и любой доступ пользователя user1,
включая просмотр подкаталогов, к домашнему каталогу пользователя user2.
Вместо user1 может быть задано not uid
user2. Это включит те ограничения, о которых
говорилось выше, для всех пользователей кроме одного.
Замечание: На пользователя root эти изменения не
повлияют.
Материал выше должен дать общую идею как модуль mac_bsdextended(4)
может быть использован в качестве средства защиты файловой системы. За дальнейшей
информацией обращайтесь к страницам справочника mac_bsdextended(4) и
ugidfw(8).