JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Administration d'Oracle Solaris 11.1 : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources     Oracle Solaris 11.1 Information Library (Français)
Oracle Technology Network
Bibliothèque
PDF
Aperçu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Gestion des ressources Oracle Solaris

1.  Introduction à la gestion des ressources

2.  Projets et tâches (présentation)

3.  Administration des projets et des tâches

4.  Comptabilisation étendue (présentation)

5.  Administration de la comptabilisation étendue (tâches)

6.  Contrôles de ressources (présentation)

7.  Administration des contrôles des ressources (tâches)

8.  Ordonnanceur FSS (présentation)

9.  Administration de l'ordonnanceur FSS (tâches)

10.  Contrôle de la mémoire physique à l'aide du démon de limitation des ressources (présentation)

11.  Administration du démon de limitation des ressources (tâches)

12.  Pools de ressources (présentation)

13.  Création et administration des pools de ressources (tâches)

14.  Exemple de configuration de la gestion des ressources

Partie II Oracle Solaris Zones

15.  Introduction à Oracle Solaris Zones

16.  Configuration des zones non globales (présentation)

17.  Planification et configuration de zones non globales (tâches)

18.  A propos de l'installation, de la fermeture, de l'arrêt, de la désinstallation et du clonage des zones non globales (présentation)

19.  Installation, initialisation, fermeture, arrêt, désinstallation et clonage des zones non globales (tâches)

20.  Connexion à une zone non globale (présentation)

21.  Connexion à une zone non globale (tâches)

22.  A propos des migrations de zones et de l'outil zonep2vchk

23.  Migration de systèmes Oracle Solaris et migration de zones non globales (tâches)

24.  A propos de l'installation automatique et des packages dans un système Oracle Solaris 11.1 comportant des zones installées

25.  Administration d'Oracle Solaris Zones (présentation)

Accès et visibilité de la zone globale

Visibilité des identificateurs de processus dans les zones

Capacité d'observation du système dans les zones

Génération de rapports statistiques sur la zone active avec l'utilitaire zonestat

Surveillance des zones non globales à l'aide de l'utilitaire fsstat

Nom de noeud dans une zone non globale

Exécution d'un serveur NFS dans une zone

Systèmes de fichiers et zones non globales

Option -o nosuid

Montage de systèmes de fichiers dans les zones

Démontage des systèmes de fichiers dans les zones

Restrictions de sécurité et comportement du système de fichiers

Zones non globales en tant que clients NFS

Interdiction d'utiliser la commande mknod dans une zone

Parcours des systèmes de fichiers

Restriction d'accès à une zone non globale à partir de la zone globale

Mise en réseau dans des zones non globales en mode IP partagé

Partition de zone en mode IP partagé

Interfaces réseau en mode IP partagé

Trafic IP entre zones en mode IP partagé sur une même machine

Oracle Solaris IP Filter dans les zones en mode IP partagé

Multipathing sur réseau IP dans les zones en mode IP partagé

Mise en réseau dans des zones non globales en mode IP exclusif

Partitionnement de zone en mode IP exclusif

Interfaces de liaison de données en mode IP exclusif

Trafic IP entre zones en mode IP exclusif sur la même machine

Oracle Solaris IP Filter dans les zones en mode IP exclusif

Multipathing sur réseau IP dans les zones en mode IP exclusif

Utilisation de périphériques dans les zones non globales

Répertoire /dev et espace de nom /devices

Périphérique d'utilisation exclusive

Gestion de pilote de périphérique

Dysfonctionnement ou modification d'utilitaires dans les zones non globales

Dysfonctionnement d'utilitaires dans les zones non globales

SPARC : Modification d'utilitaire pour une application dans les zones non globales

Utilitaires autorisés avec des implications de sécurité

Exécution d'applications dans les zones non globales

Utilisation de contrôles de ressources dans les zones non globales

Ordonnanceur FSS sur un système doté de zones

Division de partage FSS dans une zone globale ou non globale

Equilibre de partages entre zones

Comptabilisation étendue sur un système doté de zones

Privilèges dans une zone non globale

Utilisation de l'architecture de sécurité IP dans les zones

Architecture de sécurité IP dans les zones en mode IP partagé

Architecture de sécurité IP dans les zones en mode IP exclusif

Utilisation de l'audit Oracle Solaris dans les zones

Dumps noyau dans les zones

Exécution de DTrace dans une zone non globale

A propos de la sauvegarde d'un système Oracle Solaris doté de zones

Sauvegarde des répertoires du système de fichiers en loopback

Sauvegarde du système à partir de la zone globale

Sauvegarde individuelle de zones non globales sur le système

Création de sauvegardes Oracle Solaris ZFS

Identification des éléments à sauvegarder dans les zones non globales

Sauvegarde des données d'application uniquement

Opérations générales de sauvegarde de base de données

Sauvegardes sur bande

A propos de la restauration de zones non globales

Commandes utilisées dans un système doté de zones

26.  Administration d'Oracle Solaris Zones (tâches)

27.  Configuration et administration de zones immuables

28.  Dépannage des problèmes liés à Oracle Solaris Zones

Partie III Oracle Solaris 10 Zones

29.  Introduction à Oracle Solaris 10 Zones

30.  Evaluation d'un système Oracle Solaris 10 et création d'une archive

31.  (Facultatif) Migration d'une zone non globale native Oracle Solaris 10 vers une zone Oracle Solaris 10

32.  Configuration de la zone marquée solaris10

33.  Installation de la zone marquée solaris10

34.  Initialisation d'une zone, connexion et migration de zone

Glossaire

Index

Privilèges dans une zone non globale

Les processus sont limités à un sous-ensemble de privilèges. La restriction au niveau des privilèges empêche une zone de réaliser des opérations qui pourraient avoir une incidence sur d'autres zones. L'ensemble de privilèges limite les possibilités d'action des utilisateurs disposant de privilèges au sein d'une zone. Pour afficher la liste des privilèges disponibles au sein d'une zone, exécutez l'utilitaire ppriv.

Le tableau suivant répertorie tous les privilèges Oracle Solaris et le statut qui leur est associé par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv. Les privilèges requis doivent être inclus dans l'ensemble des privilèges obtenu. Les privilèges interdits ne peuvent pas être inclus dans l'ensemble des privilèges obtenu.

Tableau 25-1 Statut des privilèges dans les zones

Privilège
Etat
Remarques
cpc_cpu
Facultatif
Accès à certains compteurs cpc(3CPC)
dtrace_proc
Facultatif
Fournisseurs fasttrap et pid ; plockstat(1M)
dtrace_user
Facultatif
Fournisseurs profile et syscall
Graphics_access
Facultatif
Accès ioctl(2) à agpgart_io(7I)
Graphics_map
Facultatif
Accès mmap(2) à agpgart_io(7I)
net_rawaccess
Facultatif dans les zones en mode IP partagé

Par défaut dans les zones en mode IP exclusif
Accès au paquet PF_INET/PF_INET6 brut
proc_clock_highres
Facultatif
Utilisation d'horloges haute résolution
proc_priocntl
Facultatif
Contrôle de programmation ; priocntl(1)
sys_ipc_config
Facultatif
Augmentation de la taille du tampon de file d'attente des messages IPC
sys_time
Facultatif
Manipulation du temps système ; xntp(1M)
dtrace_kernel
Interdit
Actuellement non pris en charge
proc_zone
Interdit
Actuellement non pris en charge
sys_config
Interdit
Actuellement non pris en charge
sys_devices
Interdit
Actuellement non pris en charge
sys_dl_config
Interdit
Actuellement non pris en charge
sys_linkdir
Interdit
Actuellement non pris en charge
sys_net_config
Interdit
Actuellement non pris en charge
sys_res_config
Interdit
Actuellement non pris en charge
sys_smb
Interdit
Actuellement non pris en charge
sys_suser_compat
Interdit
Actuellement non pris en charge
proc_exec
Requis, par défaut
Permet de démarrer init(1M )
proc_fork
Requis, par défaut
Permet de démarrer init(1M )
sys_mount
Requis, par défaut
Nécessaire dans le cadre du montage de systèmes de fichiers requis
sys_flow_config
Requis, par défaut dans les zones en mode IP exclusif

Interdit dans les zones en mode IP partagé
Nécessaire pour configurer les flux
sys_ip_config
Requis, par défaut dans les zones en mode IP exclusif

Interdit dans les zones en mode IP partagé
Requis pour initialiser la zone et le réseau IP dans les zones en mode IP exclusif
sys_iptun_config
Requis, par défaut dans les zones en mode IP exclusif

Interdit dans les zones en mode IP partagé
Configuration des liens de tunnel IP
contract_event
Par défaut
Utilisé par le système de fichiers de contrat
contract_identity
Par défaut
Définition de la valeur FMRI d'un modèle de contrat de processus
contract_observer
Par défaut
Observation de contrat quel que soit l'ID utilisateur
file_chown
Par défaut
Modification de la propriété des fichiers
file_chown_self
Par défaut
Modification apportée au propriétaire/groupe de ses propres fichiers
file_dac_execute
Par défaut
Accès d'exécution quel que soit le mode ou la liste ACL
file_dac_read
Par défaut
Accès en lecture quel que soit le mode ou la liste ACL
file_dac_search
Par défaut
Accès de recherche quel que soit le mode ou la liste ACL
file_dac_write
Par défaut
Accès en écriture quel que soit le mode ou la liste ACL
file_link_any
Par défaut
Accès de liaison quel que soit le propriétaire
file_owner
Par défaut
Autre accès quel que soit le propriétaire
file_setid
Par défaut
Modification des autorisations pour les fichiers setid, setgid et setuid
ipc_dac_read
Par défaut
Accès en lecture IPC quel que soit le mode
ipc_dac_owner
Par défaut
Accès en écriture IPC quel que soit le mode
ipc_owner
Par défaut
Autre accès IPC quel que soit le mode
net_icmpaccess
Par défaut
Accès au paquet ICMP : ping(1M)
net_privaddr
Par défaut
Liaison aux ports avec privilèges
proc_audit
Par défaut
Génération d'enregistrements d'audit
proc_chroot
Par défaut
Modification du répertoire root
proc_info
Par défaut
Examen de processus
proc_lock_memory
Par défaut
Verrouillage de mémoire ; shmctl(2) et mlock(3C)

Si l'administrateur système a assigné ce privilège à une zone non globale, envisagez également de configurer le contrôle de ressources zone.max-locked-memory pour empêcher la zone de verrouiller la totalité de la mémoire.
proc_owner
Par défaut
Contrôle de processus quel que soit le propriétaire
proc_session
Par défaut
Contrôle de processus quelle que soit la session
proc_setid
Par défaut
Définition des ID d'utilisateur ou de groupe à convenance
proc_taskid
Par défaut
Assignation des ID de tâche à l'appelant
sys_acct
Par défaut
Gestion de la comptabilité
sys_admin
Par défaut
Tâches simples d'administration système
sys_audit
Par défaut
Gestion de l'audit
sys_nfs
Par défaut
Support client NFS
sys_ppp_config
Valeur par défaut dans les zones en mode IP exclusif

Interdit dans les zones en mode IP partagé
Création et suppression des interfaces PPP (sppp), configuration des tunnels PPP (sppptun)
sys_resource
Par défaut
Manipulation de limite des ressources
sys_share
Par défaut
Autorise l'appel système sharefs requis pour partager des systèmes de fichiers. Ce privilège peut être interdit dans la configuration de la zone afin d'empêcher le partage NFS au sein d'une zone.

Le tableau suivant répertorie tous les privilèges Oracle Solaris Trusted Extensions ainsi que leur statut par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv.

Remarque - Les privilèges Oracle Trusted Solaris sont interprétés uniquement si le système est configuré avec Oracle Solaris Trusted Extensions.

Tableau 25-2 Statuts des privilèges Oracle Solaris Trusted Extensions dans les zones

Privilège Oracle Solaris Trusted Extensions
Etat
Remarques
File_downgrade_sl
Facultatif
Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle ne domine pas l'étiquette de sensibilité existante.
File_upgrade_sl
Facultatif
Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle domine l'étiquette de sensibilité existante.
sys_trans_label
Facultatif
Traduction des étiquettes non dominées par l'étiquette de sensibilité
win_colormap
Facultatif
Redéfinition des restrictions de la palette des couleurs
win_config
Facultatif
Configuration ou destruction des ressources retenues en permanence par le serveur X
win_dac_read
Facultatif
Lecture à partir de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client
win_dac_write
Facultatif
Création de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client ou écriture dans celle-ci
win_devices
Facultatif
Réalisation d'opérations sur les périphériques d'entrée
win_dga
Facultatif
Utilisation des extensions du protocole X d'accès direct aux graphiques ; privilèges de mémoire graphique requis
win_downgrade_sl
Facultatif
Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette dominée par l'étiquette existante
win_fontpath
Facultatif
Ajout d'un chemin de police supplémentaire
win_mac_read
Facultatif
Lecture à partir de la ressource fenêtre avec une étiquette dominant l'étiquette du client
win_mac_write
Facultatif
Ecriture dans la ressource fenêtre avec une étiquette différente de l'étiquette du client
win_selection
Facultatif
Demande de déplacement de données sans intervention du confirmeur
win_upgrade_sl
Facultatif
Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette non dominée par l'étiquette existante
net_bindmlp
Par défaut
Autorisation de la liaison à un port multiniveau (MLP, multilevel port)
net_mac_aware
Par défaut
Autorisation de la lecture via NFS

Pour modifier les privilèges dans une configuration de zone non globale, reportez-vous à la section Configuration, vérification et validation d'une zone

Pour examiner les ensembles de privilèges, reportez-vous à la section Utilisation de l'utilitaire ppriv. Pour plus d'informations sur les privilèges, voir la page de manuel ppriv(1) et le System Administration Guide: Security Services.

Copyright © 2004, 2013, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant