Der Dateisystem-Namespace einer Zone ist ein Teil des Namespace, der von der globalen Zone aus zugänglich ist. Das Durchlaufen der Dateisystemhierarchie einer nicht-globalen Zone durch nicht berechtigte Prozesse in der globalen Zone wird mit den folgenden Mitteln verhindert:
Die Angabe, dass das übergeordnete Verzeichnis des Zonen-Root das Eigentum von Root ist, und nur von diesem gelesen, geschrieben und ausgeführt werden darf.
Das Einschränken des Zugriffs auf Verzeichnisse, die von /proc exportiert wurden
Beachten Sie, dass der Versuch eines Zugriffs auf AutoFS-Knoten, die für eine andere Zone eingehängt sind, fehlschlägt. Der globale Administrator darf keine automatischen Maps haben, die in andere Zonen hineinreichen.