데이터 세트가 비전역 영역에 위임될 때 특정 등록 정보가 전역 영역의 컨텍스트에서 해석되지 않도록 데이터 세트를 특별히 표시해야 합니다. 데이터 세트가 비전역 영역에 위임된 후에 전역 관리자의 통제 아래에 있으면 해당 컨텐츠를 더 이상 신뢰할 수 없습니다. 다른 파일 시스템과 마찬가지로, 전역 영역의 보안에 악영향을 미치는 setuid 이진, 심볼릭 링크나 의심스러운 컨텐츠가 있을 수 있습니다. 더불어, mountpoint 등록 정보는 전역 영역의 컨텍스트에서 해석할 수 없습니다. 그렇지 않으면 영역 관리자가 전역 영역의 이름 공간에 영향을 미칠 수 있습니다. 후자를 처리하기 위해 ZFS는 zoned 등록 정보를 사용하여 특정 시점에 데이터 세트가 비전역 영역에 위임되었음을 표시합니다.
zoned 등록 정보는 ZFS 데이터 세트를 포함하는 영역을 처음 부트할 때 자동으로 켜지는 부울값입니다. 영역 관리자가 이 등록 정보를 수동으로 켤 필요가 없습니다. zoned 등록 정보가 설정된 경우 전역 영역에서 데이터 세트를 마운트하거나 공유할 수 없습니다. 다음 예에서 tank/zone/zion은 영역에 위임되었고 tank/zone/global은 위임되지 않았습니다.
# zfs list -o name,zoned,mountpoint -r tank/zone NAME ZONED MOUNTPOINT tank/zone/global off /tank/zone/global tank/zone/zion on /tank/zone/zion # zfs mount tank/zone/global /tank/zone/global tank/zone/zion /export/zone/zion/root/tank/zone/zion
mountpoint 등록 정보와 tank/zone/zion 데이터 세트가 현재 마운트된 디렉토리의 차이점에 유의하십시오. mountpoint 등록 정보는 데이터 세트가 현재 시스템에 마운트된 위치가 아니라, 디스크에 저장할 당시의 등록 정보를 반영합니다.
데이터 세트를 영역에서 제거하거나 영역을 삭제할 때 zoned 등록 정보가 자동으로 지워지지 않습니다. 이 동작은 이러한 작업과 연관된 고유의 보안 위험 때문입니다. 신뢰할 수 없는 사용자가 데이터 세트와 그 자손에 전체 액세스할 수 있기 때문에 mountpoint 등록 정보가 잘못된 값으로 설정되거나 setuid 이진이 파일 시스템에 존재할 수 있습니다.
돌발적 보안 위험을 방지를 위해, 어떤 식으로든 데이터 세트를 재사용하려면 전역 영역 관리자가 zoned 등록 정보를 수동으로 지워야 합니다. zoned 등록 정보를 off로 설정하기 전에 데이터 세트와 모든 자손에 대한 mountpoint 등록 정보가 적합한 값으로 설정되고 setuid 이진이 존재하지 않거나 setuid 등록 정보가 꺼져 있는지 확인하십시오.
보안 취약점이 없는지 확인한 후에 zfs set 또는 zfs inherit 명령을 사용하여 zoned 등록 정보를 끌 수 있습니다. zoned 등록 정보를 껐지만 데이터 세트가 영역 내에서 사용 중인 경우 시스템 동작을 예측할 수 없습니다. 데이터 세트가 비전역 영역에서 더 이상 사용되지 않는 경우에만 등록 정보를 변경하십시오.