Gerätenutzung in nicht-globalen Zonen

Innerhalb einer Zone sind die zur Verfügung stehenden Geräte eingeschränkt. Aus diese Weise wird verhindert, dass ein Prozess in einer Zone Prozesse in anderen Zonen beeinflusst. Beispielsweise kann ein Prozess in einer Zone den Kernel-Speicher oder den Inhalt in der Root-Platte nicht ändern. Aus diesem Grund werden standardmäßig nur bestimmte Pseudo-Geräte als sicher für die Verwendung in einer Zone betrachtet. Zusätzliche Geräte können mit dem Dienstprogramm zonecfg in bestimmten Zonen verfügbar gemacht werden.

/dev und der /devices-Namespace

Das in der Manpage devfs beschriebene Dateisystem devfs(7FS) wird vom Solaris-System zur Verwaltung von /devices verwendet. Jedes Element in diesem Namespace stellt den absoluten Pfad zu einem Hardware-, Pseudo- oder Nexus-Gerät dar. Der Namespace ist eine Reflektion der Gerätestruktur. Somit wird das Dateisystem mit der Hierarchie der Verzeichnisse und gerätespezifischen Dateien bestückt.

Die /dev-Dateihierarchie , die heute Teil des Dateisystems / (Root) ist, besteht aus symbolischen Verbindungen (oder logischen Pfaden) zu den absoluten Pfaden in /devices. Anwendungen verweisen auf den logischen Pfad zu einem Gerät in /dev. Das Dateisystem /dev ist als Loopback-Mount schreibgeschützt in der Zone eingehängt.

Die Dateihierarchie /dev wird von einem System verwaltet, dass die in der folgenden Liste enthaltenen Komponenten umfasst:

• devfsadm (lesen Sie dazu die Manpage devfsadm(1M))

• syseventd (lesen Sie dazu die Manpage syseventd(1M))

• libdevinfo-Geräteinformationsbibliothek (lesen Sie dazu die Manpage libdevinfo(3LIB))

• devinfo-Treiber (lesen Sie dazu die Manpage devinfo(7D))

• Reconfiguration Coordination Manager (RCM) (lesen Sie dazu Reconfiguration Coordination Manager (RCM) Script Overview in System Administration Guide: Devices and File Systems )

Untersysteme, die auf /devices-Pfadnamen beruhen, können erst dann in nicht-globalen Zonen ausgeführt werden, wenn die /dev-Pfadnamen eingerichtet wurden.

Geräte mit exklusiver Nutzung

Eventuell haben Sie Geräte, die Sie bestimmten Zonen zuordnen möchten. Wenn Sie nicht berechtigten Benutzern den Zugriff auf Block-Geräte gestatten, könnten diese Geräte dazu verwendet werden, Alarmzustände im System, Resets von Bussen und andere unerwünschte Nebenwirkungen zu verursachen. Bevor Sie solche Zuweisungen vornehmen, sollten Sie Folgendes berücksichtigen:

• Bevor Sie einer bestimmten Zone ein SCSI- Bandgerät zuweisen, lesen Sie die Manpage sgen(7D).

• Das Platzieren eines physikalischen Gerätes in mehreren Zonen kann einen versteckten Kanal zwischen den Zonen schaffen. Anwendungen der globalen Zone, die ein solches Gerät benutzen, erhöhen die Möglichkeit von sicherheitsgefährdenden Daten oder Datenverletzungen durch eine nicht-globale Zone.

Verwaltung der Gerätetreiber

In einer nicht-globalen Zone können Sie mit dem in der Manpage modinfo(1M) beschriebenen Befehl modinfo die Liste der geladenen Kernel-Module anzeigen.

Die meisten Vorgänge zur Kernel-, Geräte- und Plattformverwaltung werden nicht innerhalb einer nicht-globalen Zone ausgeführt, da das Modifizieren von Plattform-Hardwarekonfigurationen das Sicherheitsmodell der Zone verletzt. Diese Vorgänge umfassen z. B.:

• Hinzufügen und Entfernen von Treibern

• Explizites Laden und Entfernen von Kernel-Modulen

• Initiieren von Dynamic Reconfiguration (DR)-Vorgängen

• Verwenden von Einrichtungen, die sich auf den Zustand der physischen Plattform auswirken

Dienstprogramme, die in nicht-globalen Zonen nicht ausgeführt werden können oder modifiziert sind

Dienstprogramme, die in nicht-globalen Zone nicht ausgeführt werden können

Die folgenden Dienstprogramme können in einer Zone nicht ausgeführt werden, da sie von Geräten abhängig sind, die normalerweise nicht verfügbar sind:

• cdrecord (siehe Manpage im Verzeichnis /usr/share/man/man1 . )

• cdrw (siehe Manpage cdrw(1))

• rmformat (siehe Manpage rmformat(1))

• add_drv (siehe Manpage add_drv(1M))

• disks (siehe Manpage disks(1M))

• prtconf (lesen Sie dazu die Manpage prtconf(1M))

• prtdiag (lesen Sie dazu die Manpage prtdiag(1M))

• rem_drv (siehe Manpage rem_drv(1M))

SPARC: Dienstprogramm für die Verwendung in einer nicht-globalen Zone modifiziert

Mit dem Dienstprogramm eeprom können Einstellungen in einer Zone angezeigt werden. Das Dienstprogramm kann nicht zum Ändern von Einstellungen verwendet werden. Weitere Informationen finden Sie in den Manpages eeprom(1M) und openprom(7D).