Einschränken des Zugriffs von der globalen Zone auf eine nicht-globale Zone

Nachdem eine nicht-globale Zone installiert wurde, darf der Zugriff auf diese Zone niemals direkt von der globalen Zone aus erfolgen, es sei denn, mit den Befehlen eines Dienstprogramms zum System-Backup. Darüber hinaus wird eine nicht-globale Zone nicht mehr als sicher betrachtet, nachdem sie einer unbekannten Umgebung offen gelegt wurde. Ein Beispiel wäre eine Zone, die in einem öffentlich zugänglichen Netzwerk platziert wurde, in dem die Sicherheit der Zone gefährdet und eine Änderung der Dateisysteme möglich wäre. Nach einer möglichen Sicherheitsgefährdung muss der globale Administrator die Zone als nicht vertrauenswürdig behandeln.

Ein Befehl, der einen alternativen Root akzeptiert, indem die Optionen -R oder -b (oder die Entsprechungen) verwendet werden, darf nicht verwendet werden, wenn Folgendes zutrifft:

• Der Befehl wird in der globalen Zone ausgeführt.

• Der alternative Root bezieht sich auf einen Root-Pfad innerhalb einer nicht-globalen Zone, je nachdem, ob sich der Pfad relativ zur globalen Zone des aktuell ausgeführten Systems oder der globalen Zone in einem alternativen Root befindet.

Ein Beispiel ist die Option -R Rootpfad für das Dienstprogramm pkgadd, das von der globalen Zone aus mit einem Root-Pfad zu einer nicht-globalen Zone ausgeführt wird.

Zu den Befehlen, Programmen und Dienstprogrammen, die die Option -R mit einem alternativen Root-Pfad verwenden, gehören:

• auditreduce

• bart

• flar

• flarcreate

• installf

• localeadm

• makeuuid

• metaroot

• patchadd

• patchrm

• pkgadd

• pkgadm

• pkgask

• pkgchk

• pkgrm

• prodreg

• removef

• routeadm

• showrev

• syseventadm

Die Befehle und Programme, die -b mit einem alternativen Root-Pfad verwenden, sind:

• add_drv

• pprosetup

• rem_drv

• roleadd

• sysidconfig

• update_drv

• useradd