这个例子针对的是一个相对较小的存储系统， 其用户数少于五十。 用户能够在其上登录， 除了存储数据之外， 还可以访问一些其他资源。

在这个场景中， mac_bsdextended(4) 可以与 mac_seeotheruids(4) 并存， 以达到禁止访问非授权资源， 同时隐藏其他用户的进程的目的。

首先， 在 /boot/loader.conf 中加入：

mac_seeotheruids_load="YES"

随后， 可以通过下述 rc.conf 变量来启用 mac_bsdextended(4) 安全策略模块：

ugidfw_enable="YES"

默认规则保存在 /etc/rc.bsdextended 中， 并在系统初始化时加载； 但是， 其中的默认项可能需要进行一些改动。 因为这台机器只为获得了授权的用户提供服务， 因此除了最后两项之外， 其它内容都应保持注释的状态。 这两项规则将默认强制加载属于用户的系统客体。

在这台机器上添加需要的用户并重新启动。 出于测试的目的， 请在两个控制台上分别以不同的用户身份登录。 运行 ps aux 命令来看看是否能看到其他用户的进程。 此外， 在其他用户的主目录中运行 ls(1) 命令， 如果配置正确， 则这个命令会失败。

不要尝试以 root 用户的身份进行测试， 除非您已经修改了特定的 sysctl 来阻止超级用户的访问。