Gestion des zones (liste des tâches)

La liste ci-dessous décrit les tâches de gestion des zones qui sont spécifiques à Trusted Extensions. Elle contient également des liens vers des procédures courantes qui s'effectuent dans Trusted Extensions de la même manière que sur un système Oracle Solaris.

Affichage des zones prêtes ou en cours d'exécution

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

1. Exécutez la commande txzonemgr &.

   Les noms de zones, leur état et leurs étiquettes s'affichent dans une interface graphique.

2. Vous pouvez également utiliser la commande zoneadm list -v.

   # zoneadm list -v
   ID NAME       STATUS     PATH              BRAND       IP 
    0 global     running    /                 ipkg        shared
    5 internal   running    /zone/internal    labeled     shared
    6 public     running    /zone/public      labeled     shared

   La sortie ne comporte pas les étiquettes des zones.

Affichage des étiquettes de fichiers montés

Cette procédure crée un script shell qui affiche les systèmes de fichiers montés de la zone active. Lorsqu'il est exécuté à partir de la zone globale, le script affiche les étiquettes de tous les systèmes de fichiers montés dans chaque zone.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

1. Dans un éditeur, créez le script getmounts.

   Indiquez le chemin d'accès du script, par exemple /usr/local/scripts/getmounts.

2. Ajoutez le contenu suivant et enregistrez le fichier :

   #!/bin/sh
   #
   for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
           /usr/bin/getlabel $i
   done

3. Testez le script dans la zone globale.

   # /usr/local/scripts/getmounts
   /:      ADMIN_HIGH
   /dev:   ADMIN_HIGH
   /system/contract:        ADMIN_HIGH
   /proc:                   ADMIN_HIGH
   /system/volatile:        ADMIN_HIGH
   /system/object:          ADMIN_HIGH
   /lib/libc.so.1:          ADMIN_HIGH
   /dev/fd:        ADMIN_HIGH
   /tmp:           ADMIN_HIGH
   /etc/mnttab:    ADMIN_HIGH
   /export:        ADMIN_HIGH
   /export/home:   ADMIN_HIGH
   /export/home/jdoe:   ADMIN_HIGH
   /zone/public:        ADMIN_HIGH
   /rpool:              ADMIN_HIGH
   /zone:               ADMIN_HIGH
   /home/jdoe:          ADMIN_HIGH
   /zone/public:        ADMIN_HIGH
   /zone/snapshot:      ADMIN_HIGH
   /zone/internal:      ADMIN_HIGH
   ...

Exemple 13-1 Affichage des étiquettes de systèmes de fichiers dans la zone restricted

Lorsqu'il est exécuté à partir d'une zone étiquetée par un utilisateur standard, le script getmounts affiche les étiquettes de tous les systèmes de fichiers montés dans cette zone. Sur un système où des zones sont créées pour chaque étiquette du fichier label_encodings par défaut, la sortie de test de la zone restricted se présente comme suit :

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/jdoe:   CONFIDENTIAL : RESTRICTED

Montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée

Cette procédure permet à un utilisateur dans une zone étiquetée spécifiée de visualiser des fichiers qui, par défaut, ne sont pas exportés depuis la zone globale.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

1. Arrêtez la zone dont vous souhaitez modifier la configuration.

   # zoneadm -z zone-name halt

2. Montez un fichier ou un répertoire en loopback.

   Par exemple, autorisez les utilisateurs ordinaires à afficher un fichier dans le répertoire /etc.

   # zonecfg -z zone-name
    add filesystem
    set special=/etc/filename
    set directory=/etc/filename
    set type=lofs
    add options [ro,nodevices,nosetuid]
    end
    exit

3. Démarrez la zone.

   # zoneadm -z zone-name boot

Exemple 13-2 Montage en loopback du fichier /etc/passwd

Dans cet exemple, l'administrateur de sécurité souhaite permettre aux testeurs et aux programmeurs de vérifier que leurs mots de passe locaux sont définis. Une fois qu'elle a été arrêtée, la zone sandbox est configurée de manière à monter en loopback le fichier passwd. Ensuite, la zone est redémarrée.

# zoneadm -z sandbox halt
# zonecfg -z sandbox
 add filesystem
    set special=/etc/passwd
    set directory=/etc/passwd
    set type=lofs
    add options [ro,nodevices,nosetuid]
 end
 exit
# zoneadm -z sandbox boot

Désactivation du montage pour les fichiers de niveau inférieur

Par défaut, les utilisateurs peuvent visualiser les fichiers de niveau inférieur. Supprimez le privilège net_mac_aware pour empêcher l'affichage de tous les fichiers de niveau inférieur depuis une zone particulière. Pour une description du privilège net_mac_aware, reportez-vous à la page de manuel privileges(5).

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

1. Arrêtez la zone dont vous souhaitez modifier la configuration.

   # zoneadm -z zone-name halt

2. Configurez la zone de manière à empêcher la visualisation des fichiers de niveau inférieur.

   Supprimez le privilège net_mac_aware de la zone.

   # zonecfg -z zone-name
    set limitpriv=default,!net_mac_aware
    exit

3. Redémarrez la zone.

   # zoneadm -z zone-name boot

Exemple 13-3 Désactivation de la visualisation par les utilisateurs des fichiers de niveau inférieur

Dans cet exemple, l'administrateur de sécurité souhaite éviter toute confusion aux utilisateurs d'un système. Les utilisateurs ne doivent donc pouvoir visualiser que les fichiers correspondant à l'étiquette à laquelle ils travaillent. Pour ce faire, l'administrateur de sécurité empêche la visualisation de tous les fichiers de niveau inférieur. Sur ce système, les utilisateurs ne peuvent pas voir les fichiers mis à la disposition du public, à moins qu'ils ne travaillent sous l'étiquette PUBLIC. En outre, les utilisateurs peuvent uniquement monter des fichiers via NFS sous l'étiquette des zones.

# zoneadm -z restricted halt
# zonecfg -z restricted
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z restricted boot

# zoneadm -z needtoknow halt
# zonecfg -z needtoknow
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z needtoknow boot

# zoneadm -z internal halt
# zonecfg -z internal
 set limitpriv=default,!net_mac_aware
 exit
# zoneadm -z internal boot

Etant donné que PUBLIC est l'étiquette la plus basse, l'administrateur de sécurité n'exécute pas les commandes pour la zone PUBLIC.

Partage d'un ensemble de données ZFS à partir d'une zone étiquetée

Dans le cadre de cette procédure, vous montez un ensemble de données ZFS avec autorisations en lecture/écriture dans une zone étiquetée. Toutes les commandes étant exécutées dans la zone globale, l'administrateur de la zone globale contrôle l'ajout d'ensembles de données ZFS à des zones étiquetées.

L'état de la zone étiquetée doit être au minimum prêt pour qu'elle puisse partager un ensemble de données. L'état de la zone peut être en cours d'exécution.

Avant de commencer

Pour configurer la zone avec l'ensemble de données, vous devez d'abord arrêter la zone. Vous devez être dans le rôle root dans la zone globale.

1. Créez l'ensemble de données ZFS

   # zfs create datasetdir/subdir

   Le nom de l'ensemble de données peut inclure un répertoire, par exemple zone/data.

2. Dans la zone globale, arrêtez la zone étiquetée.

   # zoneadm -z labeled-zone-name halt

3. Définissez le point de montage de l'ensemble de données.

   # zfs set mountpoint=legacy datasetdir/subdir

   Le paramétrage de la propriété mountpoint ZFS définit l'étiquette du point de montage lorsque celui-ci correspond à une zone étiquetée.

4. Activez l'ensemble de données à partager.

   # zfs set sharenfs=on datasetdir/subdir

5. Ajoutez l'ensemble de données à la zone en tant que système de fichiers.

   # zonecfg -z labeled-zone-name
   # zonecfg:labeled-zone-name> add fs
   # zonecfg:labeled-zone-name:dataset> set dir=/subdir
   # zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
   # zonecfg:labeled-zone-name:dataset> set type=zfs
   # zonecfg:labeled-zone-name:dataset> end
   # zonecfg:labeled-zone-name> exit

   Lorsque vous ajoutez l'ensemble de données en tant que système de fichiers, l'ensemble de données est monté au niveau du fichier /data dans la zone. Cette étape permet de s'assurer que l'ensemble de données n'est pas monté avant que la zone ne soit initialisée.

6. Initialisez la zone étiquetée.

   # zoneadm -z labeled-zone-name boot

   Lorsque la zone est initialisée, l'ensemble de données est automatiquement monté en tant que point de montage en lecture/écriture dans la zone labeled-zone-name avec l'étiquette de la zone labeled-zone-name.

Exemple 13-4 Partage et montage d'un ensemble de données ZFS à partir de zones étiquetées

Dans cet exemple, l'administrateur ajoute un ensemble de données ZFS à la zone needtoknow et partage l'ensemble de données. L'ensemble de données, zone/data est actuellement assigné au point de montage /mnt. Les utilisateurs de la zone restricted peuvent consulter l'ensemble de données.

Tout d'abord, l'administrateur arrête la zone.

# zoneadm -z needtoknow halt

Etant donné que l'ensemble de données est actuellement assigné à un autre point de montage, l'administrateur supprime l'assignation précédente, puis définit le nouveau point de montage.

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

Ensuite, l'administrateur partage l'ensemble de données.

# zfs set sharenfs=on zone/data

Puis, dans les interfaces interactives zonecfg, l'administrateur ajoute explicitement l'ensemble de données à la zone needtoknow.

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

Ensuite, l'administrateur initialise la zone needtoknow.

# zoneadm -z needtoknow boot

L'ensemble de données est désormais accessible.

Les utilisateurs de la zone restricted dominant la zone needtoknow peuvent afficher l'ensemble de données monté en modifiant le répertoire /data. Du point de vue de la zone globale, ils utilisent le chemin complet de l'ensemble de données monté. Dans cet exemple, machine1 est le nom d'hôte du système qui inclut la zone étiquetée. L'administrateur a assigné ce nom d'hôte à une adresse IP non partagée.

# cd /net/machine1/zone/needtoknow/root/data

Erreurs fréquentes

Si la tentative d'accès à l'ensemble de données depuis l'étiquette de niveau supérieur renvoie l'erreur not found (introuvable) ou No such file or directory (Fichier ou répertoire introuvable), l'administrateur doit redémarrer le service de montage automatique à l'aide de la commande svcadm restart autofs.

Octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur

Cette procédure est indispensable pour permettre à un utilisateur de modifier l'étiquette de fichiers.

Avant de commencer

La zone que vous envisagez de configurer doit être arrêtée. Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

1. Ouvrez le gestionnaire de zones étiquetées.

   # /usr/sbin/txzonemgr &

2. Configurez la zone afin de permettre la modification de l'étiquette.
   1. Double-cliquez sur la zone.
   2. Dans la liste, sélectionnez l'option Permit Relabeling (Autoriser le nouvel étiquetage).
3. Sélectionnez Boot (Init) pour redémarrer la zone.
4. Cliquez sur Cancel (Annuler) pour retourner à la liste de zones.

   Pour connaître les conditions à remplir par l'utilisateur et les processus, reportez-vous à la page de manuel setflabel(3TSOL). Pour autoriser un utilisateur à modifier l'étiquette de fichiers, reportez-vous à la section Octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur.

Exemple 13-5 Autorisation des rétrogradations uniquement pour la zone internal

Dans cet exemple, l'administrateur de sécurité utilise la commande zonecfg pour activer la rétrogradation des informations mais pas la mise à niveau des informations de la zone CNF: INTERNAL USE ONLY.

# zonecfg -z internal set limitpriv=default,file_downgrade_sl

Exemple 13-6 Désactivation de la rétrogradation à partir de la zone internal

Dans cet exemple, l'administrateur de sécurité veut empêcher la rétrogradation des fichiers CNF: INTERNAL USE ONLY sur un système précédemment utilisé pour effectuer une rétrogradation de fichiers.

L'administrateur utilise le gestionnaire de zones étiquetées pour arrêter la zone internal puis, dans le menu de la zone internal, sélectionne Deny Relabeling (Refuser le nouvel étiquetage).