Trusted Extensions 中的 NFS 挂载

Trusted Extensions 中的 NFS 挂载与 Oracle Solaris 挂载类似。差异出现在 MAC 策略的执行中。此外，txzonemgr 脚本假设起始目录挂载为 /export/home。

Trusted Extensions 中的 NFS 共享与全局区域中的 Oracle Solaris 共享类似。但是，在多级别系统上共享有标签区域是 Trusted Extensions 特有的：

• 在全局区域中共享和挂载－在 Trusted Extensions 系统的全局区域中共享和挂载文件几乎与 Oracle Solaris 中的过程完全相同。对于挂载文件，可使用自动挂载程序以及 mount 命令。对于共享文件，使用 ZFS 数据集的 sharenfs 属性。

• 有标签区域中的挂载－在 Trusted Extensions 的有标签区域中挂载文件几乎与在 Oracle Solaris 的非全局区域中挂载文件完全相同。对于挂载文件，可使用自动挂载程序以及 mount 命令。在 Trusted Extensions 中，每个有标签区域存在一个唯一的 auto_home_zone-name 配置文件。

• 在有标签区域中共享－通过使用 ZFS 共享属性，可以在区域的标签下共享有标签区域中的文件。有关更多讨论，请参见全局区域进程和有标签区域。

标签会影响可以挂载的文件。文件在特定标签共享和挂载。

• 为了使 Trusted Extensions 系统在其他 Trusted Extensions 系统上挂载文件系统，服务器和客户机必须具有 cipso 类型的兼容远程主机模板。

  对于要写入 NFS 挂载的文件系统的 Trusted Extensions 客户机，必须使用读写权限以及与客户机相同的标签挂载文件系统。

• 为了使 Trusted Extensions 系统从无标签系统挂载文件系统，Trusted Extensions 系统指定给无标签系统的单一标签必须匹配 Trusted Extensions 系统的标签。

  同样，为了使有标签区域从无标签系统挂载文件系统，Trusted Extensions 系统指定给无标签系统的单一标签必须匹配有标签区域的标签。

• 可以查看，但是不能修改使用 LOFS 挂载且其标签随挂载区域而异的文件系统。有关 NFS 挂载的详细信息，请参见访问 Trusted Extensions 中 NFS 挂载的文件系统。

标签还会影响可以查看哪些目录和文件。缺省情况下，较低级别对象可在用户的环境中使用。因此，在缺省配置中，一般用户可以查看低于用户当前级别的区域中的文件。例如，用户可以从较高级别标签查看其较低级别的起始目录。有关详细信息，请参见在 Trusted Extensions 中创建起始目录。

如果站点安全性禁止查看较低级别对象，可使较低级别文件系统对于用户不可见。有关详细信息，请参见如何禁用较低级别文件的挂载。

Trusted Extensions 中的挂载策略没有 MAC 覆盖。较高级别标签进程永远无法修改可在较低级别标签看到的已挂载文件。此 MAC 策略在全局区域中也有效。全局区域 ADMIN_HIGH 进程无法修改较低级别标签的 NFS 挂载的文件，例如 PUBLIC 文件或 ADMIN_LOW 文件。MAC 策略强制执行缺省配置，并且对一般用户不可见。一般用户无法查看对象，除非他们具有这些对象的 MAC 访问权限。