Kapitel 27 Einführung in die Verwaltung der Solaris Zones

In diesem Kapitel werden Themen zur allgemeinen Zonenadministration behandelt:

• Neuerungen in diesem Kapitel

• Sichtbarkeit und Zugriff in einer globalen Zone

• Sichtbarkeit von Prozess-IDs in Zonen

• System-Überwachbarkeit in Zonen

• Knotennamen in nicht-globalen Zonen

• Dateisysteme und nicht-globale Zonen

• Netzwerkverbindungen in nicht-globalen Shared IP-Zonen

• Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen

• Gerätenutzung in nicht-globalen Zonen

• Ausführen von Anwendungen nicht-globalen Zonen

• Resource Controls in nicht-globalen Zonen

• Fair Share Scheduler auf einem Solaris-System mit installierten Zonen

• Extended Accounting auf einem Solaris-System mit installierten Zonen

• Berechtigungen in einer nicht-globalen Zone

• Verwenden der IP-Sicherheitsarchitektur in Zonen

• Verwenden von Solaris-Auditing in Zonen

• Core-Dateien in Zonen

• Allgemeine Informationen zum Sichern eines Solaris-Systems mit installierten Zonen

• Festlegen der in nicht-globalen Zonen zu sichernden Daten

• Mit einem Solaris-System mit installierten Zonen verwendete Befehle

Informationen zu den lx Branded Zones finden Sie in Teil III, lx Branded Zones.

Neuerungen in diesem Kapitel

Solaris 10 1/06: Ein neuer Abschnitt Aushängen von Dateisystemen in Zonen wurde hinzugefügt.

Solaris 10 1/06: Neue Abschnitte zum Zonen-Backup und zur Wiederherstellung von Zonen wurden hinzugefügt. Lesen Sie dazu Allgemeine Informationen zum Sichern eines Solaris-Systems mit installierten Zonen.

Solaris 10 6/06: Der Tabelle in Einhängen von Dateisystemen in Zonen wurde ein Eintrag für ZFS hinzugefügt.

Solaris 10 8/07: Die folgenden Informationen sind neu oder wurden in diesem Release aktualisiert.

• Ab diesem Release stehen zwei IP-Typen für nicht-globale Zonen zur Verfügung. Informationen zu den je nach IP-Typ verfügbaren Funktionen wurden hinzugefügt. Lesen Sie dazu Netzwerkverbindungen in nicht-globalen Shared IP-Zonen und Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen.

• Solaris IP-Filter können jetzt in Shared IP-Zonen verwendet werden. Weitere Informationen finden Sie unter Solaris IP-Filter in Shared IP-Zonen.

• Die Informationen zu den Berechtigungseinstellungen in Zonen wurden überarbeitet. Siehe Tabelle 27–1.

• Die Informationen unter Mit einem Solaris-System mit installierten Zonen verwendete Befehle wurden aktualisiert.

Eine vollständige Liste der neuen Funktionen in Solaris 10 sowie eine Beschreibung der Solaris-Releases finden Sie in Neuerungen in Oracle Solaris 9 10/10.

Sichtbarkeit und Zugriff in einer globalen Zone

Die globale Zone dient sowohl als Standardzone für das System als auch als eine Zone für die systemweite administrative Steuerung. Bei dieser Doppelrolle sind einige administrative Aspekte zu berücksichtigen. Da Anwendungen in der globalen Zone Zugriff auf Prozesse und andere Systemobjekte in anderen Zonen haben, können die Auswirkungen von administrativen Maßnahmen weitreichender als erwartet sein. Beispielsweise verwenden Skripten zum Herunterfahren von Services häufig den Befehl pkill, um bestimmten Prozessen das Beenden zu signalisieren. Wenn ein solches Skript in der globalen Zone ausgeführt wird, werden alle Prozesse im System angesprochen, unabhängig von der Zone, in der sie ausgeführt werden.

Dieser systemweite Geltungsbereich ist häufig erforderlich. Um beispielsweise die systemweite Ressourcennutzung zu überwachen, müssen Sie die Prozessstatistiken des gesamten Systems anzeigen. Würden nur die Aktivitäten in der globalen Zone angezeigt, fehlen wichtige Informationen aus anderen Zonen des Systems, die eventuell einen Teil oder sogar die gesamten Systemressourcen nutzen. Eine solche Ansicht ist insbesondere dann wichtig, wenn Systemressourcen wie CPUs nicht strikt mit den Funktionen der Ressourcenverwaltung partitioniert wurden.

Folglich können Prozesse in der globalen Zone Prozesse und andere Objekte in nicht-globalen Zonen überwachen. Dies gestattet diesen Prozessen, systemweit zu überwachen. Die Fähigkeit zur Kontrolle oder zum Senden von Signalen an Prozesse in anderen Zonen wird durch die Berechtigung PRIV_PROC_ZONE eingeschränkt. Diese Berechtigung ähnelt PRIV_PROC_OWNER, da es Prozessen gestattet, die Einschränkungen für nichtberechtigte Prozesse außer Kraft zu setzen. In diesem Fall besteht die Einschränkung darin, dass nichtberechtigte Prozesse in der globalen Zone keine Signale an Prozesse in anderen Zonen senden bzw. diese kontrollieren können. Dies trifft auch dann zu, wenn die Benutzer-IDs der Prozesse übereinstimmen oder der ausführende Prozess über die Berechtigung PRIV_PROC_OWNER verfügt. Die Berechtigung PRIV_PROC_ZONE kann von anderweitig berechtigten Prozessen entfernt werden, um die Maßnahmen für eine globale Zone einzuschränken.

Weitere Informationen zum Matching von Prozessen mithilfe einer zoneidlist finden Sie in den Manpages pgrep(1) und pkill(1).

Sichtbarkeit von Prozess-IDs in Zonen

Nur Prozesse in der gleichen Zone, die Prozess-IDs akzeptieren (wie die Befehle kill und priocntl) sind über Systemaufruf-Schnittstellen sichtbar. Weitere Informationen finden Sie in den Manpages kill(1) und priocntl(1).

System-Überwachbarkeit in Zonen

Der Befehl ps kann wie folgt erweitert werden:

• Die Option -o dient zum Festlegen des Ausgabeformats. Mit dieser Option können Sie die Zonen-ID eines Prozesses oder den Namen der Zone drucken, in der der Prozess ausgeführt wird.

• Mit der Option -z Zonenliste werden nur die Prozesse in den angegebenen Zonen aufgelistet. Die Zonen können entweder über den Zonennamen oder die Zonen-ID angegeben werden. Diese Option eignet sich insbesondere dann, wenn der Befehl in der globalen Zone ausgeführt wird.

• Mit der Option -Z wird der Name der Zone gedruckt, die dem Prozess zugeordnet ist. Der Name wird unter der Spaltenüberschrift ZONE gedruckt.

Weitere Informationen finden Sie in der Man Page ps(1).

Für die im Folgenden aufgeführten Solaris-Dienstprogramme wurde die Option -z Zonennamen hinzugefügt. Mit dieser Option können Sie Informationen so filtern, dass nur die angegebene Zone bzw. die angegebenen Zonen enthalten sind.

• ipcs (lesen Sie auch die Manpage ipcs(1))

• pgrep (lesen Sie auch die Manpage pgrep(1))

• ptree (lesen Sie auch die Manpage proc(1))

• prstat (lesen Sie auch die Manpage prstat(1M))

Eine vollständige Liste der Änderungen an diesen Befehlen finden Sie in Tabelle 27–5.

Knotennamen in nicht-globalen Zonen

Der Knotenname in /etc/nodename, der von dem Befehl uname - n zurückgegeben wird, kann vom Zonenadministrator gesetzt werden. Der Knotenname muss eindeutig sein.

Dateisysteme und nicht-globale Zonen

In diesem Abschnitt finden Sie Informationen zu möglichen Problemen mit Dateisystemen auf einem Solaris-System mit installierten Zonen. Jede Zone verfügt über einen eigenen Bereich in der Dateisystemhierarchie, die in einem Verzeichnis beginnt, das als root der Zone bezeichnet wird. Prozesse in der Zone können nur auf Dateien in dem Teil der Hierarchie zugreifen, der sich unter dem Zonenroot befindet. Das Dienstprogramm chroot kann in einer Zone verwendet werden, es dient aber nur dazu, den Prozess auf den Root-Pfad innerhalb der Zone zu beschränken. Weitere Informationen zu chroot finden Sie in der Manpage chroot(1M).

Die Option -o nosuid

Die Option -o nosuid für das Dienstprogramm mount bietet folgende Funktionen:

• Prozesse einer setuid-Binärdatei, die sich auf einem mit der Option nosetuid eingehängten Dateisystem befindet, können nicht mit den Berechtigungen der Binärdatei setuid ausgeführt werden. Die Prozesse werden mit den Berechtigungen des Benutzers ausgeführt, der die Binärdatei aufgerufen hat.

  Angenommen, ein Benutzer führt eine setuid-Binärdatei aus, deren Eigentümer root ist, so werden die Prozesse mit den Berechtigungen des Benutzers ausgeführt.

• Das Öffnen von gerätespezifischen Einträgen im Dateisystem ist nicht gestattet. Dieses Verhalten entspricht der Angabe der Option nodevices.

Diese dateisystemspezifische Option ist für alle Solaris-Dateisysteme verfügbar, die mit mount-Dienstprogrammen eingehängt werden können. Diese Dienstprogramme sein in der Manpage mount(1M) beschrieben. In diesem Handbuch sind diese Dateisysteme unter Einhängen von Dateisystemen in Zonen aufgelistet. Dort werden auch die Leistungsmerkmale beim Einhängen beschrieben. Weitere Informationen zur Option -o nosuid finden Sie unter „Accessing Network File Systems (Reference)“ im System Administration Guide: Network Services .

Einhängen von Dateisystemen in Zonen

Wenn Dateisysteme in einer Zone eingehängt werden, wird die Option nodevices angewendet. Angenommen, eine Zone erhält Zugriff auf ein Block-Gerät (/dev/dsk/c0t0d0s7) und ein Raw-Gerät (/dev/rdsk/c0t0d0s7) entsprechend einem UFS-Dateisystem, so wird das Dateisystem automatisch als nodevices eingehängt, wenn das Einhängen innerhalb einer Zone erfolgt. Diese Regelung gilt nicht für Mounts, die über eine zonecfg-Konfiguration angegeben wurden.

Optionen zum Einhängen von Dateisystemen in nicht-globalen Zonen sind in der folgenden Tabelle beschrieben. Verfahren für diese verschiedenen Einhängevarianten finden Sie unter Konfigurieren, Prüfen und Übernehmen einer Zone und unter Einhängen von Dateisystemen in laufenden nicht-globalen Zonen.

Ein nicht in der Liste aufgeführter Dateisystemtyp kann in der Konfiguration angegeben werden, sofern er über eine Mount-Binärdatei unter /usr/lib/fstype/mount verfügt.

Weitere Informationen finden Sie unter So konfigurieren Sie die Zone, Einhängen von Dateisystemen in laufenden nicht-globalen Zonen und in der Manpage mount(1M).

Aushängen von Dateisystemen in Zonen

Die Fähigkeit zum Aushängen eines Dateisystems hängt davon ab, wer das Dateisystem ursprünglich eingehängt hat. Wenn ein Dateisystem als Teil der Zonenkonfiguration mit dem Befehl zonecfg angegeben wurde, tritt die globale Zone als Eigentümer dieses Mounts auf und der Zonenadministrator der nicht-globalen Zone kann das Dateisystem nicht aushängen. Wenn das Dateisystem innerhalb der nicht-globalen Zone eingehängt wurde, beispielsweise durch Angabe des Mounts in der Datei /etc/vfstab der Zone, kann das Dateisystem vom Zonenadministrator der nicht-globalen Zone ausgehängt werden.

Sicherheitseinschränkungen und Dateisystemverhalten

Für das Einhängen bestimmter Dateisysteme innerhalb einer Zone gelten Sicherheitseinschränkungen. Einige Dateisysteme zeigen ein besonderes Verhalten, wenn sie in einer Zone eingehängt werden. Die Liste der modifizierten Dateisysteme folgt.

AutoFS

Autofs ist ein clientseitiger Service, der das entsprechende Dateisystem automatisch einhängt. Wenn ein Client versucht, auf ein aktuell nicht eingehängtes Dateisystem zuzugreifen, fängt das AutoFS-Dateisystem die Anforderung ab und ruft automountd auf, um das angeforderte Verzeichnis einzuhängen. AutoFS-Mounts, die innerhalb einer Zone hergestellt wurden, gelten nur lokal für diese Zone. Auf diese Mounts kann nicht von anderen Zonen zugegriffen werden; dies gilt auch für die globalen Zone. Die Mounts werden entfernt, wenn die Zone angehalten oder neu gestartet wird. Weitere Informationen zu AutoFS finden Sie unter How Autofs Works in System Administration Guide: Network Services.

Jede Zone führt ihre eigene Kopie von automountd aus. Die automatischen Zuordnungen und Zeitüberschreitungen werden vom Zonenadministrator gesteuert. Sie können das Einhängen in einer anderen Zone nicht auslösen, indem Sie einen AutoFS-Einhängepunkt für eine nicht-globale Zone von der globalen Zone kreuzen.

Bestimmte AutoFS-Mounts werden im Kernel erstellt, wenn ein anderer Mount ausgelöst wird. Solche Mounts können nicht mit der normalen umount-Schnittstelle entfernt werden, da sie als Gruppe eingehängt oder ausgehängt werden müssen. Dieses Leistungsmerkmal dient zum Herunterfahren einer Zone.

MNTFS

MNTFS ist ein virtuelles Dateisystem, das dem lokalen System schreibgeschützten Zugriff auf die Tabelle der eingehängten Dateisysteme bereitstellt. Mithilfe von mnttab umfassen die in einer nicht-globalen Zone angezeigten Dateisysteme die in dieser Zone eingehängten Dateisysteme plus eines Eintrags für den Root (/). Bei Einhängepunkten mit einem speziellen Gerät, auf das innerhalb der Zone nicht zugegriffen werden kann (wie /dev/rdsk/c0t0d0s0), ist das spezielle Gerät entsprechend dem Einhängepunkt eingestellt. Alle Mounts im System sind in der Tabelle /etc/mnttab der globalen Zone ersichtlich. Weitere Informationen zu MNTFS finden Sie in Kapitel 18, Mounting and Unmounting File Systems (Tasks) in System Administration Guide: Devices and File Systems.

NFS

Innerhalb einer Zone eingerichtete NFS-Mounts gelten nur lokal für diese Zone. Auf diese Mounts kann nicht von anderen Zonen zugegriffen werden; dies gilt auch für die globalen Zone. Die Mounts werden entfernt, wenn die Zone angehalten oder neu gestartet wird.

Wie in der Manpage mount_nfs(1M) dokumentiert, darf ein NFS-Server nicht versuchen, seine eigenen Dateisysteme einzuhängen. Daher darf eine Zone ein von der globalen Zone exportiertes Dateisystem nicht in einem NFS einhängen. Zonen können keine NFS-Server sein. Innerhalb einer Zone verhalten sich NFS-Mounts so, als ob sie mit der Option nodevices eingehängt wurden.

Die Ausgabe des Befehls nfsstat bezieht sich nur auf die Zone, in der der Befehl ausgeführt wird. Wird der Befehl z. B. in der globalen Zone ausgeführt, so werden nur Informationen zur globalen Zone ausgegeben. Weitere Informationen zum Befehl nfsstat finden Sie in der Manpage nfsstat(1M).

Der Befehl zlogin schlägt fehl, wenn sich eine der offenen Dateien oder ein Teil des Adressraums auf einem NFS befinden. Weitere Informationen finden Sie unter zlogin-Befehl.

PROCFS

Das Dateisystem /proc (oder PROCFS) bietet Prozess-Sichtbarkeit sowie Zugriffseinschränkungen und Informationen über die Zonenzuordnung von Prozessen. Über /proc sind nur Prozesse in der gleichen Zone sichtbar.

Prozesse in der globalen Zone können Prozesse und andere Objekte in nicht-globalen Zonen überwachen. Dies gestattet diesen Prozessen, systemweit zu überwachen.

Innerhalb einer Zone verhalten sich procfs-Mounts so, als ob sie mit der Option nodevices eingehängt wurden. Weitere Informationen zu procfs finden Sie in der Manpage proc(4).

LOFS

Der Bereich dessen, was über LOFS eingehängt werden kann, ist auf den Teil des Dateisystems beschränkt, der für die Zone sichtbar ist. Aus diesem Grund gibt es keine Einschränkungen für LOFS-Mounts in einer Zone.

UFS, UDFS, PCFS und andere speicherbasierte Dateisysteme

Wenn Sie den Befehl zonecfg zum Konfigurieren von speicherbasierten Dateisystemen verwenden, die über eine fsck-Binärdatei verfügen (z. B. UFS) muss der Zonenadministrator einen raw-Parameter angeben. Dieser Parameter kennzeichnet ein Raw-Gerät (zeichenorientiert), z. B. /dev/rdsk/c0t0d0s7. zoneadmd führt automatisch den Befehl fsck im nicht-interaktiven Prüfmodus an diesem Gerät aus (fsck -m), bevor es das Dateisystem einhängt. Wenn der Befehl fsck fehlschlägt, kann zoneadmd die Zone nicht in den Status „ready“ versetzen. Der von raw angegebene Pfad darf kein relativer Pfad sein.

Die Angabe eines Geräts für fsck für ein Dateisystem, das keine Binärdatei fsck unter /usr/lib/fstype/fsck enthält, führt zu einem Fehler. Auch wenn Sie kein Gerät für fsck angeben, wenn eine Binärdatei fsck für das Dateisystem vorhanden ist, tritt ein Fehler auf.

Weitere Informationen finden Sie unter Der Daemon zoneadmd und in der Manpage fsck(1M)

ZFS

Sie können ein ZFS-Dataset mit dem Befehl zonecfg und der Ressource add dataset zu einer nicht-globalen Zone hinzufügen. Das Dataset ist in der nicht-globalen Zone sichtbar und eingehängt, und in der globalen Zone nicht mehr sichtbar. Der Zonenadministrator kann Dateisysteme innerhalb dieses Datasets erstellen und löschen, Klone erstellen und löschen und die Eigenschaften des Datasets bearbeiten.

Das Attribut zoned von zfs kennzeichnet, ob ein Dataset zu einer nicht-globalen Zone hinzugefügt wurde.

# zfs get zoned tank/sales NAME PROPERTY VALUE SOURCE tank/sales zoned on local

Wenn Sie ein Dataset von der globalen Zone aus gemeinsam nutzen möchten, können Sie mit dem Befehl zonecfg und den Optionen add fs ein LOFS-mounted ZFS-Dateisystem hinzufügen. Der globale Administrator ist für das Einstellen und Steuern der Dataset-Eigenschaften verantwortlich.

Weitere Informationen zum ZFS finden Sie in Kapitel 10, Fortgeschrittene Oracle Solaris ZFS-Themen in Oracle Solaris ZFS-Administrationshandbuch.

Nicht-globale Zonen als NFS-Clients

Zonen können NFS-Clients sein. Protokolle aus Version 2, Version 3 und Version 4 werden unterstützt. Weitere Informationen zu diesen NFS-Versionen finden Sie unter Features of the NFS Service in System Administration Guide: Network Services .

Die Standardversion ist NFS Version 4. Mithilfe einer der folgenden Methoden können Sie andere NFS-Versionen auf einem Client aktivieren:

• Bearbeiten Sie /etc/default/nfs, um NFS_CLIENT_VERSMAX=Zahl so einzustellen, dass die Zone standardmäßig die angegebene Version verwendet. Lesen Sie dazu Setting Up NFS Services in System Administration Guide: Network Services . Verwenden Sie das Verfahren „So wählen Sie andere NFS-Versionen auf einem Client durch Modifizieren der Datei /etc/default/nfs“ in der Übersicht der Schritte.

• Sie können manuell einen Versions-Mount erstellen. Diese Methode überschreibt den Inhalt von /etc/default/nfs. Lesen Sie dazu Setting Up NFS Services in System Administration Guide: Network Services . Verwenden Sie das Verfahren „So verwenden Sie die Befehlszeile zum Auswählen von anderen NFS-Versionen auf einem Client“ in der Übersicht der Schritte.

Verwendung von mknod in einer Zone nicht gestattet

Beachten Sie, dass Sie den in der Manpage mknod(1M) beschriebenen Befehl mknod nicht zum Erstellen einer speziellen Datei in einer nicht-globalen Zone verwenden können.

Durchlaufen von Dateisystemen

Der Dateisystem-Namespace einer Zone ist ein Teil des Namespace, der von der globalen Zone aus zugänglich ist. Das Durchlaufen der Dateisystemhierarchie einer nicht-globalen Zone durch nicht berechtigte Prozesse in der globalen Zone wird mit den folgenden Mitteln verhindert:

• Die Angabe, dass das übergeordnete Verzeichnis des Zonen-Root das Eigentum von Root ist, und nur von diesem gelesen, geschrieben und ausgeführt werden darf.

• Das Einschränken des Zugriffs auf Verzeichnisse, die von /proc exportiert wurden

Beachten Sie, dass der Versuch eines Zugriffs auf AutoFS-Knoten, die für eine andere Zone eingehängt sind, fehlschlägt. Der globale Administrator darf keine automatischen Maps haben, die in andere Zonen hineinreichen.

Einschränken des Zugriffs von der globalen Zone auf eine nicht-globale Zone

Nachdem eine nicht-globale Zone installiert wurde, darf der Zugriff auf diese Zone niemals direkt von der globalen Zone aus erfolgen, es sei denn, mit den Befehlen eines Dienstprogramms zum System-Backup. Darüber hinaus wird eine nicht-globale Zone nicht mehr als sicher betrachtet, nachdem sie einer unbekannten Umgebung offen gelegt wurde. Ein Beispiel wäre eine Zone, die in einem öffentlich zugänglichen Netzwerk platziert wurde, in dem die Sicherheit der Zone gefährdet und eine Änderung der Dateisysteme möglich wäre. Nach einer möglichen Sicherheitsgefährdung muss der globale Administrator die Zone als nicht vertrauenswürdig behandeln.

Ein Befehl, der einen alternativen Root akzeptiert, indem die Optionen -R oder -b (oder die Entsprechungen) verwendet werden, darf nicht verwendet werden, wenn Folgendes zutrifft:

• Der Befehl wird in der globalen Zone ausgeführt.

• Der alternative Root bezieht sich auf einen Root-Pfad innerhalb einer nicht-globalen Zone, je nachdem, ob sich der Pfad relativ zur globalen Zone des aktuell ausgeführten Systems oder der globalen Zone in einem alternativen Root befindet.

Ein Beispiel ist die Option -R Rootpfad für das Dienstprogramm pkgadd, das von der globalen Zone aus mit einem Root-Pfad zu einer nicht-globalen Zone ausgeführt wird.

Zu den Befehlen, Programmen und Dienstprogrammen, die die Option -R mit einem alternativen Root-Pfad verwenden, gehören:

• auditreduce

• bart

• flar

• flarcreate

• installf

• localeadm

• makeuuid

• metaroot

• patchadd

• patchrm

• pkgadd

• pkgadm

• pkgask

• pkgchk

• pkgrm

• prodreg

• removef

• routeadm

• showrev

• syseventadm

Die Befehle und Programme, die -b mit einem alternativen Root-Pfad verwenden, sind:

• add_drv

• pprosetup

• rem_drv

• roleadd

• sysidconfig

• update_drv

• useradd

Netzwerkverbindungen in nicht-globalen Shared IP-Zonen

Auf einem Solaris-System mit installierten Zonen können die Zonen über das Netzwerk miteinander kommunizieren. Alle Zonen haben separate Bindungen, oder Verbindungen, und alle Zonen können ihre eigenen Server-Daemons ausführen. Diese Daemons können die gleichen Ports überwachen, ohne dass ein Konflikt auftritt. Der IP-Stack löst Konflikte, indem die IP-Adressen für ankommende Verbindungen berücksichtigt werden. Die IP-Adressen identifizieren die Zone.

Partitionierung von Shared IP-Zonen

Der IP-Stack eines Systems, das Zonen unterstützt, setzt die Trennung des Netzwerkverkehrs zwischen den Zonen um. Anwendungen, die IP-Verkehr empfangen, empfangen nur Daten, die in der gleichen Zone gesendet wurden.

Jede logische Schnittstelle des Systems gehört zu einer bestimmten Zone; standardmäßig zur globalen Zone. Mithilfe des Dienstprogramms zonecfg werden den Zonen logische Netzwerkschnittstellen zugeordnet, mit denen sie über das Netzwerk kommunizieren können. Jeder Stream und jede Verbindung gehört zur Zone des Prozesses, der diesen Stream bzw. die Verbindung geöffnet hat.

Bindungen zwischen Streams höherer Schichten und logischen Schnittstellen sind eingeschränkt. Ein Stream kann nur Bindungen mit logischen Schnittstellen in der gleichen Zone herstellen. Entsprechend können Pakete von einer logischen Schnittstelle nur an Streams einer höheren Schicht in der gleichen Zone wie die logische Schnittstelle übergeben werden.

Jede Zone verfügt über ein eigenes Bindungsset. Jede Zone kann die gleiche Anwendung ausführen, die den gleichen Port überwacht, ohne dass Bindungen fehlschlagen, weil die Adresse bereits verwendet wird. Jede Zone kann ihre eigene Version der folgenden Services ausführen:

• Internet Services-Daemon mit vollständiger Konfigurationsdatei (lesen Sie dazu die Manpage inetd(1M))

• sendmail (lesen Sie dazu die Manpage sendmail(1M))

• apache (lesen Sie dazu die Manpage apache(1M))

Für Zonen, bei denen es sich nicht um die globalen Zone handelt, ist der Zugriff auf das Netzwerk eingeschränkt. Die standardmäßigen TCP- und UDP-Socket-Schnittstellen sind verfügbar, aber die SOCK_RAW-Socket-Schnittstellen sind auf das Internet Control Message Protocol (ICMP) beschränkt. ICMP ist für das Erfassen und Melden von Netzwerkfehlerzuständen oder das Verwenden des Befehls ping erforderlich.

Shared IP-Netzwerkschnittstellen

Jede mit einem Netzwerk verbundene nicht-globale Zone benötigt mindestens eine dedizierte IP-Adresse. Diese Adressen werden über logische Netzwerkschnittstellen zugeordnet, die mithilfe des Befehls ifconfig in einer Zone platziert werden. Mit dem Befehl zonecfg konfigurierte Zonen-Netzwerkschnittstellen werden beim Booten einer Zone automatisch eingerichtet und platziert. Mit dem Befehl ifconfig können logische Schnittstellen einer laufenden Zone hinzugefügt bzw. daraus entfernt werden. Nur der globale Administrator kann die Schnittstellenkonfiguration und Netzwerkrouten ändern.

Innerhalb einer nicht-globalen Zone sind nur die Schnittstellen der Zone für ifconfig sichtbar.

Weitere Informationen finden Sie in den Manpages ifconfig(1M) und if_tcp(7P).

IP-Verkehr zwischen Shared IP-Zonen auf dem gleichen Computer

Die Paketzustellung zwischen zwei Zonen auf dem gleichen Computer ist nur dann zulässig, wenn eine „Matching Route“ (Zuordnungsroute) für das Ziel und die Zone in der Weiterleitungstabelle vorhanden ist.

Die Matching-Informationen werden wie folgt umgesetzt:

• Die Quelladresse der Pakete wird an der Ausgabeschnittstelle gewählt, die von der Matching Route angegeben ist.

• Standardmäßig ist Verkehr zwischen zwei Zonen zulässig, die Adressen im gleichen Teilnetz haben. In diesem Fall ist die Matching Route die Schnittstellenroute des Teilnetzes.

• Falls eine Standardroute für eine bestimmte Zone vorhanden ist, bei der sich das Gateway in einem der Teilnetze der Zone befindet, wird der Verkehr von dieser Zone in alle anderen Zonen gestattet. In diesem Fall ist die Matching Route die Standardroute.

• Falls eine Matching Route mit dem Flag RTF_REJECT vorhanden ist, lösen Pakete eine Meldung aus, dass das ICMP nicht erreichbar ist. Wenn eine Matching Route mit dem Flag RTF_BLACKHOLE vorhanden ist, werden die Pakete verworfen. Mit den Optionen des Befehls route kann der globale Administrator Routen mit diesem Flags erstellen. Die Optionen sind in der folgenden Tabelle beschrieben.

  Modifikator	Flag	Beschreibung
  -reject	RTF_REJECT	Gibt bei einem Match eine „ICMP nicht erreichbar“-Nachricht aus.
  -blackhole	RTF_BLACKHOLE	Verwirft Pakete stillschweigend während Aktualisierungen.

  Weitere Informationen finden Sie in der Manpage route(1M)

Solaris IP-Filter in Shared IP-Zonen

Solaris IP-Filter bieten statusbehaftete Paketfilterung und Network Address Translation (NAT). Ein statusbehafteter Paketfilter kann den Status aktiver Verbindungen überwachen und anhand der gesammelten Informationen festlegen, welche Netzwerkpakete eine Firewall passieren dürfen. Darüber hinaus bietet Solaris IP Filter eine statusfreie Paketfilterung sowie die Möglichkeit, Adresspools zu erstellen und zu verwalten. Weitere Informationen finden Sie in Kapitel 25, Oracle Solaris IP Filter (Übersicht) in Systemverwaltungshandbuch: IP Services.

Solaris IP-Filter können in nicht-globalen Zonen aktiviert werden, indem die Loopback-Filterung gemäß der Beschreibung in Kapitel 26, Oracle Solaris IP Filter (Aufgaben) in Systemverwaltungshandbuch: IP Services aktiviert wird.

Solaris IP Filter ist von der Open Source IP Filter-Software abgeleitet.

IP-Netzwerk-Multipathing in Shared IP-Zonen

IP-Netzwerk-Multipathing (IPMP) bietet eine Erkennung von Ausfällen physikalischer Schnittstellen und transparentes Failover des Netzwerkzugriffs bei einem System mit mehreren Schnittstellen in der gleichen IP-Verbindung. Darüber hinaus bietet IPMP Lastverteilung von Paketen für Systeme mit mehreren Schnittstellen.

Die gesamte Netzwerkkonfiguration erfolgt in der globalen Zone. Sie können IPMP in der globalen Zone konfigurieren und die Leistungsmerkmale dann auf nicht-globale Zonen erweitern. Die Leistungsmerkmale werden erweitert, indem Sie die Zonenadresse beim Konfigurieren der Zone in eine IPMP-Gruppe aufnehmen. Sollte dann eine der Schnittstellen in der globalen Zone ausfallen, migrieren die Adressen der nicht-globalen Zone auf eine andere Netzwerk-Schnittstellenkarte. Eine Shared-IP-Zone kann über mehrere IP-Adressen verfügen, zu mehreren IPMP-Gruppen gehören und eine IPMP-Gruppe kann von mehreren Shared-IP-Zonen verwendet werden.

In einer bestimmten nicht-globalen Zone sind nur die der Zone zugeordneten Schnittstellen über den Befehl ifconfig sichtbar.

Lesen Sie dazu So erweitern Sie die Funktionen des IP Network Multipathing auf nicht-globale Shared IP-Zonen. Das Verfahren zur Zonenkonfiguration ist unter So konfigurieren Sie die Zone beschrieben. Weitere Informationen zu den Leistungsmerkmalen und Komponenten sowie zur Nutzung von IPMP finden Sie in Kapitel 30, Einführung in IPMP (Übersicht) in Systemverwaltungshandbuch: IP Services.

Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen

Eine Exclusive IP-Zone verfügt über eigene IP-orientierte Zustände und einstellbare Variablen. Der Zone wird beim Konfigurieren der Zone ist ein eigener Satz Datenverbindungen zugeordnet.

Informationen zu den Leistungsmerkmalen, die in einer nicht-globalen Exclusive IP-Zone verwendet werden können, finden Sie unter Solaris 10 8/07: Nicht-globale Exclusive IP-Zonen. Informationen zu den einstellbaren IP ndd-Variablen finden Sie im Oracle Solaris Tunable Parameters Reference Manual .

Partitionierung von Exclusive IP-Zonen

Exclusive IP-Zonen haben separate TCP/IP-Stacks, daher reicht die Separation hinab bis zur Verbindungsschicht. Einem oder mehreren Verbindungsnamen, bei denen es sich um eine NIC oder ein VLAN auf einer NIC handeln kann, wird vom globalen Administrator eine Exclusive IP-Zone zugeordnet. Der Zonenadministrator kann das IP für diese Verbindungen mit der gleichen Flexibilität und den gleichen Optionen wie in der globalen Zone konfigurieren.

Exclusive IP-Verbindungsschnittstellen

Ein Verbindungsname muss exklusiv einer einzelnen Zone zugeordnet sein.

Mit dem Befehl dladm show-link können Sie die Verbindungen anzeigen, die laufenden Zonen zugeordnet sind.

Weitere Informationen finden Sie in der Manpage dladm(1M)

IP-Verkehr zwischen Exclusive IP-Zonen auf dem gleichen Computer

Es gibt kein internes Loopback von IP-Paketen zwischen Exclusive IP-Zonen. Alle Pakete werden zur Verbindungsschicht gesendet. In der Regel bedeutet dies, dass die Pakete an eine Netzwerkschnittstelle gesendet werden. Dann können Geräte wie Ethernet-Switches oder IP-Router die Pakete an das Ziel weiterleiten, bei dem es sich um eine andere Zone auf dem gleichen Computer handeln kann.

Solaris IP-Filter in Exclusive IP-Zonen

In einer Exclusive IP-Zone haben Sie die gleichen IP-Filter-Leistungsmerkmale wie in der globalen Zone. Die IP-Filter in Exclusive IP-Zonen werden auf die gleiche Weise wie in der globalen Zone konfiguriert.

IP Network Multipathing in Exclusive IP-Zonen

IP-Netzwerk-Multipathing (IPMP) bietet eine Erkennung von Ausfällen physikalischer Schnittstellen und transparentes Failover des Netzwerkzugriffs bei einem System mit mehreren Schnittstellen in der gleichen IP-Verbindung. Außer der Fehlertoleranz bietet IPMP Lastverteilung von Paketen für Systeme mit mehreren Schnittstellen.

Die Konfiguration der Datenverbindung erfolgt in der globalen Zone. Zunächst werden einer Zone mit zonecfg mehrere Verbindungsschnittstellen zugewiesen. Die Multi-Verbindungsschnittstellen müssen an das gleiche IP-Teilnetz angehängt werden. IPMP kann dann vom Zonenadministrator innerhalb der Exclusive IP-Zone konfiguriert werden. Mehrere IPMP-Gruppen können einer gegebenen Exclusive-IP-Zone zugewiesen werden, diese IPMP-Gruppen können jedoch nicht gemeinsam mit anderen Zonen genutzt werden.

Gerätenutzung in nicht-globalen Zonen

Innerhalb einer Zone sind die zur Verfügung stehenden Geräte eingeschränkt. Aus diese Weise wird verhindert, dass ein Prozess in einer Zone Prozesse in anderen Zonen beeinflusst. Beispielsweise kann ein Prozess in einer Zone den Kernel-Speicher oder den Inhalt in der Root-Platte nicht ändern. Aus diesem Grund werden standardmäßig nur bestimmte Pseudo-Geräte als sicher für die Verwendung in einer Zone betrachtet. Zusätzliche Geräte können mit dem Dienstprogramm zonecfg in bestimmten Zonen verfügbar gemacht werden.

/dev und der /devices-Namespace

Das in der Manpage devfs beschriebene Dateisystem devfs(7FS) wird vom Solaris-System zur Verwaltung von /devices verwendet. Jedes Element in diesem Namespace stellt den absoluten Pfad zu einem Hardware-, Pseudo- oder Nexus-Gerät dar. Der Namespace ist eine Reflektion der Gerätestruktur. Somit wird das Dateisystem mit der Hierarchie der Verzeichnisse und gerätespezifischen Dateien bestückt.

Die /dev-Dateihierarchie , die heute Teil des Dateisystems / (Root) ist, besteht aus symbolischen Verbindungen (oder logischen Pfaden) zu den absoluten Pfaden in /devices. Anwendungen verweisen auf den logischen Pfad zu einem Gerät in /dev. Das Dateisystem /dev ist als Loopback-Mount schreibgeschützt in der Zone eingehängt.

Die Dateihierarchie /dev wird von einem System verwaltet, dass die in der folgenden Liste enthaltenen Komponenten umfasst:

• devfsadm (lesen Sie dazu die Manpage devfsadm(1M))

• syseventd (lesen Sie dazu die Manpage syseventd(1M))

• libdevinfo-Geräteinformationsbibliothek (lesen Sie dazu die Manpage libdevinfo(3LIB))

• devinfo-Treiber (lesen Sie dazu die Manpage devinfo(7D))

• Reconfiguration Coordination Manager (RCM) (lesen Sie dazu Reconfiguration Coordination Manager (RCM) Script Overview in System Administration Guide: Devices and File Systems )

Untersysteme, die auf /devices-Pfadnamen beruhen, können erst dann in nicht-globalen Zonen ausgeführt werden, wenn die /dev-Pfadnamen eingerichtet wurden.

Geräte mit exklusiver Nutzung

Eventuell haben Sie Geräte, die Sie bestimmten Zonen zuordnen möchten. Wenn Sie nicht berechtigten Benutzern den Zugriff auf Block-Geräte gestatten, könnten diese Geräte dazu verwendet werden, Alarmzustände im System, Resets von Bussen und andere unerwünschte Nebenwirkungen zu verursachen. Bevor Sie solche Zuweisungen vornehmen, sollten Sie Folgendes berücksichtigen:

• Bevor Sie einer bestimmten Zone ein SCSI- Bandgerät zuweisen, lesen Sie die Manpage sgen(7D).

• Das Platzieren eines physikalischen Gerätes in mehreren Zonen kann einen versteckten Kanal zwischen den Zonen schaffen. Anwendungen der globalen Zone, die ein solches Gerät benutzen, erhöhen die Möglichkeit von sicherheitsgefährdenden Daten oder Datenverletzungen durch eine nicht-globale Zone.

Verwaltung der Gerätetreiber

In einer nicht-globalen Zone können Sie mit dem in der Manpage modinfo(1M) beschriebenen Befehl modinfo die Liste der geladenen Kernel-Module anzeigen.

Die meisten Vorgänge zur Kernel-, Geräte- und Plattformverwaltung werden nicht innerhalb einer nicht-globalen Zone ausgeführt, da das Modifizieren von Plattform-Hardwarekonfigurationen das Sicherheitsmodell der Zone verletzt. Diese Vorgänge umfassen z. B.:

• Hinzufügen und Entfernen von Treibern

• Explizites Laden und Entfernen von Kernel-Modulen

• Initiieren von Dynamic Reconfiguration (DR)-Vorgängen

• Verwenden von Einrichtungen, die sich auf den Zustand der physischen Plattform auswirken

Dienstprogramme, die in nicht-globalen Zonen nicht ausgeführt werden können oder modifiziert sind

Dienstprogramme, die in nicht-globalen Zone nicht ausgeführt werden können

Die folgenden Dienstprogramme können in einer Zone nicht ausgeführt werden, da sie von Geräten abhängig sind, die normalerweise nicht verfügbar sind:

• cdrecord (siehe Manpage im Verzeichnis /usr/share/man/man1 . )

• cdrw (siehe Manpage cdrw(1))

• rmformat (siehe Manpage rmformat(1))

• add_drv (siehe Manpage add_drv(1M))

• disks (siehe Manpage disks(1M))

• prtconf (lesen Sie dazu die Manpage prtconf(1M))

• prtdiag (lesen Sie dazu die Manpage prtdiag(1M))

• rem_drv (siehe Manpage rem_drv(1M))

SPARC: Dienstprogramm für die Verwendung in einer nicht-globalen Zone modifiziert

Mit dem Dienstprogramm eeprom können Einstellungen in einer Zone angezeigt werden. Das Dienstprogramm kann nicht zum Ändern von Einstellungen verwendet werden. Weitere Informationen finden Sie in den Manpages eeprom(1M) und openprom(7D).

Ausführen von Anwendungen nicht-globalen Zonen

Im Allgemeinen können alle Anwendungen in einer nicht-globalen Zone ausgeführt werden. Die folgenden Anwendungstypen sind jedoch eventuell nicht für diese Umgebung geeignet:

• Anwendungen, die privilegierte Vorgänge verwenden, die sich auf das gesamte System auswirken. Beispiele hierfür sind Vorgänge, die die globale Systemuhr einstellen oder reellen Speicher sperren.

• Einige Anwendungen, die von bestimmten Geräten abhängig sind, können in einer nicht-globalen Zone nicht existieren. Hierzu gehört z. B. /dev/kmem.

• Anwendungen, die während der Laufzeit, der Installation, dem Patchen oder Aktualisieren in /usr schreiben müssen. Dies liegt daran, dass /usr standardmäßig für eine nicht-globale Zone schreibgeschützt ist. Manchmal können die Probleme mit diesem Anwendungstyp gelöst werden, ohne Änderungen an der Anwendung selbst vorzunehmen.

• Anwendungen in einer Shared IP-Zone, die von Geräten in /dev/ip abhängig sind.

Resource Controls in nicht-globalen Zonen

Weitere Informationen zur Verwendung der Leistungsmerkmale der Ressourcenverwaltung finden Sie im entsprechenden Kapitel in Teil 1 dieses Handbuchs.

Alle Resource Controls und Attribute, die in den Kapiteln zur Ressourcenverwaltung beschrieben werden, können in der Datei /etc/project der globalen und nicht-globalen Zone, der NIS-Map oder dem LDAP-Verzeichnisservice eingestellt werden. Die Einstellungen für eine bestimmte Zone wirken sich nur auf diese Zone aus. Ein Projekt, das in verschiedenen Zonen autonom ausgeführt wird, verfügt in jeder Zone über individuell eingestellte Resource Controls. Beispielsweise kann für Projekt A in der globalen Zone project.cpu-shares=10 eingestellt sein, während Projekt A in einer nicht-globalen Zone über die Einstellung project.cpu-shares=5 verfügt. Sie können mehrere Instanzen von rcapd auf dem System ausführen, dabei arbeitet jede Instanz nur in ihrer Zone.

Die Resource Controls und Attribute, die in einer Zone zum Steuern von Projekten, Aufgaben und Prozessen innerhalb dieser Zone verwendet werden, unterliegen zusätzlichen Anforderungen hinsichtlich Pools und zonenweiten Resource Controls.

Für nicht-globale Zonen gilt die Regel „eine Zone, einen Pool“. Die Ressourcen eines Pools können von mehreren nicht-globalen Zonen gemeinsam genutzt werden. Prozesse in der globalen Zone können jedoch durch einen ausreichend privilegierten Prozess an einen bestimmten Pool gebunden werden. Der Resource-Controller poold kann nur in der globalen Zone ausgeführt werden, in der es mehrere Pools gibt, in denen er arbeiten kann. Das in einer nicht-globalen Zone ausgeführte Dienstprogramm poolstat zeigt nur Informationen zu dem Pool an, der mit der Zone verbunden ist. Wenn der Befehl pooladm ohne Argumente in einer nicht-globalen Zone ausgeführt wird, werden nur Informationen zu dem Pool angezeigt, der mit der Zone verbunden ist.

Zonenweite Resource Controls wirken sich nicht aus, wenn sie in der Datei project gesetzt wurden. Eine zonenweite Resource Control wird über das Dienstprogramm zonecfg gesetzt.

Fair Share Scheduler auf einem Solaris-System mit installierten Zonen

Diesem Abschnitt wird beschrieben, wie Sie den Fair Share Scheduler (FSS) mit Zonen verwenden.

Aufteilung der FSS-Shares in einer nicht-globalen Zone

FSS CPU-Shares für eine Zone sind hierarchisch. Die Shares für die globale Zone und nicht-globalen Zonen werden vom globalen Administrator über die zonenweite Resource Control zone.cpu-shares eingestellt. Die Resource Control project.cpu-shares kann dann für jedes Projekt innerhalb der Zone definiert werden, um die über die zonenweite Resource Control eingerichteten Shares weiter aufzuteilen.

Wie Sie Zonen-Shares mit dem Befehl zonecfg zuweisen, können Sie unter So stellen Sie zone.cpu-shares in der globalen Zone ein nachlesen . Weitere Informationen zu project.cpu-shares finden Sie unter Verfügbare Resource Controls. Beispiele für Verfahren, bei denen Shares auf temporärer Basis zugeteilt werden, finden Sie unter Verwenden des Fair Share Scheduler auf einem Solaris-System mit installierten Zonen.

Share-Verteilung zwischen Zonen

Mit der Resource Control zone.cpu-shares können Sie FSS-Shares für die globale Zone und nicht-globale Zonen zuweisen. Wenn der FSS der Standard-Scheduler auf dem System ist und keine Shares zugewiesen wurden, erhält jede Zone (einschließlich der globalen Zone) standardmäßig einen Share. Wenn sich eine nicht-globale Zone auf dem System befindet und Sie dieser Zone mit zone.cpu-shares zwei Shares zuordnen, definiert dies den Anteil an der CPU, den die nicht-globale Zone in Relation zur globalen Zone erhält. Das CPU-Verhältnis zwischen den zwei Zonen beträgt 2:1.

Extended Accounting auf einem Solaris-System mit installierten Zonen

Wenn das Extended Accounting in der globalen Zone ausgeführt wird, sammelt es Daten und erstellt Berichte für das gesamte System (einschließlich der nicht-globalen Zonen). Der globale Administrator kann darüber hinaus den Ressourcenverbrauch pro Zone festlegen.

Das Subsystem Extended Accounting gestattet für prozess- und aufgabenbasiertes Accounting unterschiedliche Einstellungen und Dateien für jede Zone. Die exacct-Datensätzen können mit dem Zonennamen EXD PROC ZONENAME für Prozesse und dem Zonennamen EXD TASK ZONENAME für Aufgaben gekennzeichnet werden. Accounting-Datensätze werden in die Accounting-Dateien der globalen Zone und in die Accounting-Dateien der jeweiligen Zone geschrieben. Die Datensätze EXD TASK HOSTNAME, EXD PROC HOSTNAME und EXD HOSTNAME enthalten anstelle des Knotennamens der globalen Zone den Wert uname -n für die Zone, in der der Prozess bzw. die Aufgabe ausgeführt wird.

Weitere Informationen über das IPQoS Flow Accounting finden Sie in Kapitel 36, Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben) in Systemverwaltungshandbuch: IP Services.

Berechtigungen in einer nicht-globalen Zone

Prozesse sind auf bestimmte Berechtigungen beschränkt. Die Einschränkung von Berechtigungen verhindert, dass Vorgänge in einer Zone ausgeführt werden, die sich auf andere Zonen auswirken könnten. Die Berechtigungen schränken die Möglichkeiten berechtigter Benutzer auf die jeweilige Zone ein. Zum Anzeigen einer Liste der in einer Zone verfügbaren Berechtigungen verwenden Sie das Dienstprogramm ppriv.

In der folgenden Tabelle sind alle Solaris-Berechtigungen und der Status jede Berechtigung in Bezug auf Zonen aufgeführt. Optionale Berechtigungen, die nicht zu den Standardberechtigungen gehören, können über die Eigenschaft limitpriv angegeben werden. Erforderliche Berechtigungen müssen in das resultierende Berechtigungsset aufgenommen sein. Verbotene Berechtigungen können im resultierenden Berechtigungsset nicht enthalten sein.

Die Eigenschaft limitpriv wurde mit dem Solaris-Release 10 11/06 eingeführt.

In der folgenden Tabelle sind alle Trusted Solaris Extensions-Berechtigungen und der Status jede Berechtigung in Bezug auf die Zonen aufgeführt. Optionale Berechtigungen, die nicht zu den Standardberechtigungen gehören, können über die Eigenschaft limitpriv angegeben werden.

Diese Berechtigungen werden nur dann ausgewertet, wenn das System mit Solaris Trusted Extensions konfiguriert ist.

Wie Sie Berechtigungen in der Konfiguration einer nicht-globalen Zone ändern, finden Sie unter Konfigurieren, Prüfen und Übernehmen einer Zone.

Informationen zum Anzeigen von Berechtigungssets finden Sie unter Verwenden des Dienstprogramms ppriv. Weitere Informationen zu Berechtigungen finden Sie in der Manpage ppriv(1) und im System Administration Guide: Security Services.

Verwenden der IP-Sicherheitsarchitektur in Zonen

Das Internet Protocol Security Architecture (IPsec), das einen Schutz des IP-Datagramms bietet, wird in Kapitel 19, IP Security Architecture (Übersicht) in Systemverwaltungshandbuch: IP Services beschrieben . Das Internet Key Exchange (IKE)-Protokoll dient zum Verwalten der erforderlichen Schlüssel für die automatische Authentifizierung und Verschlüsselung.

Weitere Informationen entnehmen Sie bitte den Manpages ipsecconf(1M) und ipseckey(1M).

IP-Sicherheitsarchitektur in Shared IP-Zonen

IPsec kann in der globalen Zone eingesetzt werden. Jedoch kann IPsec in einer nicht-globalen Zone kein IKE nutzen. Daher müssen Sie zur Verwaltung der IPsec-Schlüssel und Richtlinien für die nicht-globalen Zonen das Internet Key Exchange (IKE)-Protokoll in der globalen Zone verwenden. Verwenden Sie die Quelladresse, die der von Ihnen konfigurierten nicht-globalen Zone entspricht.

Solaris 10 8/07: IP-Sicherheitsarchitektur in Exclusive IP-Zonen

IPsec kann in Exclusive IP-Zonen verwendet werden.

Verwenden von Solaris-Auditing in Zonen

Das Solaris-Auditing ist in Kapitel 28, Oracle Solaris Auditing (Overview) in System Administration Guide: Security Services beschrieben . Informationen zu den Überlegungen, die im Zusammenhang mit dem Auditing für Zonen angestellt werden müssen, finden Sie in den folgenden Abschnitten:

• Kapitel 29, Planning for Oracle Solaris Auditing in System Administration Guide: Security Services

• Auditing and Solaris Zones in System Administration Guide: Security Services

Ein Audit-Datensatz beschreibt ein Ereignis, zum Beispiel das Anmelden bei einem System oder das Schreiben in eine Datei. Der Datensatz besteht aus mehreren Token, bei denen es sich um Audit-Daten-Sets handelt. Mit dem Token zonename können Sie das Solaris-Auditing so konfigurieren, dass es Audit-Ereignisse nach der Zone kennzeichnet. Mit dem Token zonename können Sie die folgenden Informationen erstellen:

• Audit-Datensätze, die mit dem Namen der Zone gekennzeichnet sind, in der der Datensatz erzeugt wurde

• Ein Audit-Protokoll für eine bestimmte Zone, das der globale Administrator für den Zonenadministrator zur Verfügung stellen kann

Konfigurieren des Auditing in der globalen Zone

Solaris-Audittrails werden in der globalen Zone konfiguriert. Die Audit-Richtlinien werden in der globalen Zone eingestellt und gelten für Prozesse in allen Zonen. Die Audit-Datensätze können mit dem Namen der Zone versehen werden, in der das Ereignis aufgetreten ist. Um Zonennamen in Audit-Datensätzen aufzunehmen, müssen Sie die Datei /etc/security/audit_startup ändern, bevor Sie nicht-globale Zonen installieren. Die Auswahl der Zonennamen ist von der Groß-/Kleinschreibung abhängig.

Um das Auditing in der globalen Zone so zu konfigurieren, dass alle Zonen-Audit-Datensätze enthalten sind, fügen Sie die folgende Zeile in die Datei /etc/security/audit_startup ein:

/usr/sbin/auditconfig -setpolicy +zonename

Als globaler Administrator in der globalen Zone führen Sie das Dienstprogramm auditconfig aus:

global# auditconfig -setpolicy +zonename

Weitere Informationen finden Sie in den Manpages audit_startup(1M) und auditconfig(1M) sowie unter „Configuring Audit Files (Task Map)“ im System Administration Guide: Security Services.

Konfigurieren vom Benutzer-Audit-Eigenschaften in einer nicht-globalen Zone

Beim Erstellen einer nicht-globalen Zone werden die Dateien audit_control und audit_user von der globalen Zone in das Verzeichnis /etc/security der Zone kopiert. Diese Dateien müssen eventuell modifiziert werden, um die Audit-Anforderungen der Zone widerzuspiegeln.

Beispielsweise kann jede Zone so konfiguriert werden, dass das Auditing für bestimmte Benutzer anders als für andere Benutzer ausgeführt wird. Um diese benutzerspezifischen Vorauswahlkriterien anzuwenden, müssen die beiden Dateien audit_control und audit_user bearbeitet werden. Eventuell sind für die Datei audit_user in der nicht-globalen Zone auch Änderungen erforderlich, um die Benutzerbasis der Zone widerzuspiegeln. Da jede Zone bezüglich des Benutzers, der das Auditing ausführt, anders konfiguriert sein kann, ist es auch möglich, dass die Datei audit_user vollständig leer ist.

Weitere Informationen finden Sie in den Manpages audit_control(4) und audit_user(4).

Bereitstellen von Audit-Datensätzen für eine bestimmte nicht-globale Zone

Durch Aufnahme des Token zonename gemäß der Beschreibung unter Konfigurieren des Auditing in der globalen Zone können Solaris-Audit-Datensätze nach Zonen konfiguriert werden. Datensätze aus unterschiedlichen Zonen können dann mit dem Befehl auditreduce gesammelt werden, um Protokolle für eine bestimmte Zone zu erstellen.

Weitere Informationen finden Sie in den Manpages audit_startup(1M) und auditreduce(1M).

Core-Dateien in Zonen

Mit dem Befehl coreadm geben Sie den Namen und Speicherort von Core-Dateien an, die durch vorzeitig beendete Prozesse erstellt werden. Pfadangaben zu den Core-Dateien, die den Zonennamen der Zone enthalten, in der der Prozess ausgeführt wurde, werden durch Angabe der Variablen %z erstellt. Der Pfadname ist relativ zum Root-Verzeichnis der Zone.

Weitere Informationen finden Sie in den Manpages coreadm(1M) und core(4).

Ausführen von DTrace in einer nicht-globalen Zone

DTrace-Programme, die nur die Berechtigungen dtrace_proc und dtrace_user benötigen, können in einer nicht-globalen Zone ausgeführt werden. Um diese Berechtigungen zum Berechtigungsset hinzuzufügen, das in der nicht-globalen Zone zur Verfügung steht, verwenden Sie die zonecfg-Eigenschaft limitpriv. Anweisungen hierzu finden Sie unter So verwenden Sie DTrace.

Die von dtrace_proc unterstützten Provider sind fasttrap und pid. Die von dtrace_user unterstützten Provider sind profile und syscall. Der Gültigkeitsbereich der DTrace-Provider und -Aktionen ist auf die Zone beschränkt.

Weitere Informationen finden Sie unter Berechtigungen in einer nicht-globalen Zone.

Allgemeine Informationen zum Sichern eines Solaris-Systems mit installierten Zonen

Sie können Sicherungen einzelner nicht-globaler Zonen erstellen, oder das gesamte System von der globalen Zone aus sichern.

Sichern der Loopback-Dateisystemverzeichnisse

Da viele nicht-globale Zonen über lofs-Mounts (in der Regel /usr, /lib, /sbin und /platform) Dateien gemeinsam mit dem globalen System nutzen, müssen Sie ein Sicherungsverfahren für die globale Zone verwenden, um die lofs-Verzeichnisse zu sichern.

Sichern Sie nicht die lofs-Dateisysteme, die in nicht-globalen Zonen mit der globalen Zone gemeinsam genutzt werden. Ein Versuch des Administrators einer nicht-globalen Zone, lofs-Dateisysteme aus einer nicht-globalen Zone wiederherzustellen, könnte zu einem schwerwiegenden Problem führen.

Sichern eines Systems von der globalen Zone

In den folgenden Fällen können Sie die Sicherungen von der globalen Zone aus durchführen:

• Sie möchten die Konfigurationen der nicht-globalen Zonen ebenso wie die Anwendungsdaten sichern.

• Ihre oberste Priorität ist die Möglichkeit des Wiederherstellens nach einem Ausfall. Wenn Sie alles oder nahezu alles auf dem System wiederherstellen müssen, einschließlich der Root-Dateisysteme Ihrer Zonen und deren Konfigurationsdaten sowie die Daten in der globalen Zone, sollten Sie die Sicherung von der globalen Zone aus durchführen.

• Für eine Datensicherung verwenden Sie den Befehl ufsdump. Da das Importieren eines reellen Festplattengeräts in eine nicht-globale Zone das Sicherheitsprofil der Zone ändern würde, müssen Sie den Befehl ufsdump von der globalen Zone aus einsetzen.

• Sie haben eine kommerzielle Software für Sicherungen über das Netzwerk.

  ---

  Hinweis –

  Ihre Softwarelösung zum Erstellen von Sicherungen über das Netzwerk sollte so konfiguriert sein, dass alle geerbten lofs-Dateisysteme übersprungen werden können. Die Sicherung sollte dann ausgeführt werden, wenn weder Zone noch Anwendungen auf die zu sichernden Daten zugreifen.

  ---

Sichern einzelner nicht-globaler Zonen auf einem System

In den folgenden Fällen können Sie Sicherungen in den nicht-globalen Zonen erstellen.

• Der Administrator der nicht-globalen Zone muss in der Lage sein, die Daten in weniger schweren Fällen wiederherstellen zu können oder Anwendungen oder Benutzerdaten für eine bestimmte Zone wiederherzustellen.

• Sie möchten Programme verwenden, die eine dateibasierte Sicherung vornehmen, z. B. tar oder cpio. Lesen Sie dazu die Manpages tar(1) und cpio(1).

• Sie verwenden die Sicherungssoftware einer bestimmten Anwendung oder eines Services, der in einer Zone ausgeführt wird. Es kann zu Problemen führen, die Sicherungssoftware von der globalen Zone auszuführen, da Anwendungsumgebungen, z. B. der Verzeichnispfad und die installierte Software in der globalen Zone und der nicht-globalen Zone ungleich sind.

  Wenn die Anwendung eine Momentaufnahme ihres eigenen Sicherungsplans in jeder nicht-globalen Zone erstellen und diese Backups in einem zum Schreiben freigegebenen Verzeichnis speichern kann, das von der globalen Zone exportiert wurde, kann der Administrator der globalen Zone diese individuellen Backups als Teil der Sicherungsstrategie für die globale Zone auswählen.

Festlegen der in nicht-globalen Zonen zu sichernden Daten

Sie können alle Daten in der nicht-globalen Zone, oder, da sich die Konfiguration einer Zone nur selten ändert, nur die Anwendungsdaten sichern.

Sichern nur der Anwendungsdaten

Wenn die Anwendungsdaten in einem bestimmten Teil des Dateisystems gesichert werden, können Sie auch nur diese Daten regelmäßig zu ändern. Eine Sicherung des Root-Dateisystems der Zone muss nicht mit der gleichen Häufigkeit erfolgen, da sich diese Daten selten ändern.

Sie müssen feststellen, wo die Anwendung ihre Dateien speichert. Speicherorte, an denen Anwendungen ihre Dateien ablegen, sind z. B.:

• Das Startverzeichnis des Benutzers

• /etc für Konfigurationsdateien

• /var

Wenn der Anwendungsadministrator weiß, wo die Daten gespeichert sind, kann ein System erstellt werden, in dem ein schreibfähiges Verzeichnis für jede Zone erstellt wird. Jede Zone kann dann ihre eigenen Backups speichern, und der globale Administrator kann dieser Ort zu den Speicherorten eines Systems hinzufügen, die gesichert werden.

Allgemeine Vorgänge bei der Sicherung von Datenbanken

Wenn die Anwendungsdaten einer Datenbank nicht in einem eigenen Verzeichnis abgelegt werden, gelten die folgenden Regeln:

• Zunächst wird sichergestellt, dass die Datenbanken in einem konsistenten Zustand sind.

  Datenbanken müssen sich im Ruhezustand befinden, da ihre internen Puffer auf die Festplatte geleert werden müssen. Achten Sie darauf, dass die Datenbanken in nicht-globalen Zonen heruntergefahren sind, bevor Sie eine Sicherung von der globalen Zone aus starten.

• Verwenden Sie die Dateisystemfunktionen in den Zonen, um eine Momentaufnahme der Daten zu erstellen, dann sichern Sie die Momentaufnahmen direkt von der globalen Zone aus.

  Dieser Prozess minimiert die erforderliche Zeit für eine Sicherung und eliminiert den Bedarf an Backup-Clients/Modulen in allen Zonen.

Sicherungen auf Band

Jede nicht-globale Zone kann eine Momentaufnahme ihrer privaten Dateisysteme erstellen, wenn die Zone dies gestattet und die Anwendung im kurzfristig im Ruhezustand ist. Später kann die globale Zone jede dieser Momentaufnahme sichern und auf Band speichern, wenn die Anwendung wieder arbeitet.

Diese Methode hat die folgenden Vorteile:

• Es sind weniger Bandgerät erforderlich.

• Es ist keine Koordination mit den nicht-globalen Zonen erforderlich.

• Den Zonen müssen keine Geräte direkt zugeordnet werden, wodurch die Sicherheit verbessert wird.

• Im Allgemeinen bleibt bei dieser Methode das Systemmanagement in der globalen Zone.

Allgemeine Informationen zum Wiederherstellen von nicht-globalen Zonen

Wenn das Wiederherstellen der Sicherungskopien von der globalen Zone aus erfolgt, kann der globale Administrator die betroffenen Zonen wie die betroffenen Zonen zunächst neu installieren und dann die Dateien in der Zone wiederherstellen. Dabei wird von Folgendem ausgegangen:

• Die wiederherzustellende Zone weist die gleiche Konfiguration wie beim Erstellen der Sicherung auf.

• Die globalen Zone wurde nach dem Erstellen der Sicherung und vor dem Wiederherstellen der Zone weder aktualisiert noch gepatcht.

Andernfalls könnten beim Wiederherstellen einige Dateien überschrieben werden, die manuell zusammengeführt werden sollten.

Beispielsweise müssen Sie Dateien manuell zusammenführen, wenn eine globale Zonen nach der Sicherung, aber vor dem Wiederherstellen der nicht-globalen Zone gepatcht wurde. In diesem Fall müssen Sie beim Wiederherstellen der Dateien einer Zone vorsichtig vorgehen, da eine gesicherte Datei eventuell nicht kompatibel mit der neu installierten Zone ist, die nach dem Patchen der globalen Zone erstellt wurde. Prüfen Sie die Dateien einzeln und vergleichen Sie sie mit den Kopien in der neu installierten Zone. In den meisten Fällen kann eine Datei direkt kopiert werden, in einigen Fällen müssen Sie die an einer Datei vorgenommenen Änderungen in die neu installierte oder gepatchte Kopie der Zone einfügen.

Wenn alle Dateisysteme in der globalen Zone verloren gegangen sind, werden beim Wiederherstellen aller Daten der globalen Zone auch die nicht-globalen Zonen wiederhergestellt, solange die jeweiligen Root-Dateisysteme der nicht-globalen Zone in der Sicherung enthalten waren.

Mit einem Solaris-System mit installierten Zonen verwendete Befehle

Die in Tabelle 27–3 aufgeführten Befehle stellen die primäre administrative Schnittstelle zu den Zonen dar.

Der Daemon zoneadmd ist der primäre Prozess zur Verwaltung der virtuellen Plattform einer Zone. Die Manpage für den zoneadmd-Daemon ist zoneadmd(1M). Der Daemon stellt keine Programmierungsschnittstelle dar.

Die in der folgenden Tabelle aufgeführten Befehle werden mit dem Resource Capping Daemon verwendet.

Die Befehle in der folgenden Tabelle wurden für die Verwendung auf einem Solaris-System mit installierten Zonen modifiziert. Diese Befehle verfügen über Optionen, die nur für Zonen gelten oder Informationen auf andere Weise anzeigen. Die Befehle werden nach Manpage-Abschnitt aufgeführt.