如果区域的根目录为只读,则该区域称为不可编辑区域。solaris 不可编辑的区域通过为非全局区域实现只读 root 文件系统来保留区域的配置。此区域通过向运行时环境添加更多限制来扩展区域安全运行时界限。除非作为特定维护操作执行,否则对系统二进制文件或系统配置的修改将被阻止。
强制写入访问控制 (mandatory write access control, MWAC) 内核策略用于通过 zonecfg file-mac-profile 属性强制执行文件系统写入特权。由于全局区域不受 MWAC 策略的制约,全局区域可写入非全局区域的文件系统进行安装、映像更新和维护。
区域进入就绪状态时,下载 MWAC 策略。该策略将在区域引导时启用。要执行安装后装配和配置,使用临时可写入 root 文件系统引导序列。对区域 MWAC 配置的修改仅在区域重新引导时才生效。
有关配置、安装及引导区域的一般信息,请参见Chapter 1, 如何规划和配置非全局区域和Chapter 3, 安装、引导、关闭、停止、卸载和克隆非全局区域