Ограничение доступа к неглобальной зоне из глобальной зоны

После установки неглобальной зоны доступ к ней непосредственно из глобальной зоны какими-либо командами, за исключением утилит резервного копирования систем, запрещается. Более того, неглобальная зона после контакта с неизвестной средой не может считаться безопасной. В качестве примера можно привести помещение зоны в публично доступную сеть, где она может быть скомпрометирована, а содержание ее файловых систем изменено. Если существует принципиальная вероятность компрометации, глобальный администратор должен обращаться с зоной как с недоверенной.

Любая команда, допускающая в качестве входного параметра альтернативный корень посредством параметра -R или - b (или аналогичной), не должна использоваться в следующих случаях:

• если команда выполняются в глобальной зоне;

• если альтернативный корень относится к какому-либо корневому пути внутри неглобальной зоны, независимо от того, является ли путь относительным по отношению к глобальной зоне системы, запущенной в настоящий момент, или к глобальной зоне в альтернативном корне.

В качестве примера можно привести параметр -R путь_к_корню утилиты pkgadd, запускаемой из глобальной зоны с корневым путем неглобальной зоны.

Ниже приведен список команд, программ и служебных программ, в которых используется параметр -R с альтернативным корневым путем.

• auditreduce

• bart

• flar

• flarcreate

• installf

• localeadm

• makeuuid

• metaroot

• patchadd

• patchrm

• pkgadd

• pkgadm

• pkgask

• pkgchk

• pkgrm

• prodreg

• removef

• routeadm

• showrev

• syseventadm

Ниже приведен список команд и программ, использующих параметр -b с альтернативным корневым путем.

• add_drv

• pprosetup

• rem_drv

• roleadd

• sysidconfig

• update_drv

• useradd