Restrições de segurança e comportamento do sistema de arquivos

Há restrições de segurança à montagem de determinados sistemas de arquivos a partir de uma região. Outros sistemas de arquivos expõem comportamento especial quando montados em uma região. Segue-se a lista de sistemas de arquivos modificados.

AutoFS

Autofs é um serviço de cliente que monta automaticamente o sistema de arquivos apropriado. Quando um cliente tenta acessar um sistema de arquivos que não está atualmente montado, o sistema de arquivos AutgoFS intercepta a solicitação e chama automountd para montar o diretório solicitado. Montagens do AutoFS estabelecidas no interior de uma região são locais para essa região. As montagens não podem ser acessadas a partir de outras regiões, inclusive a região global. As montagens são removidas quando a região é parada ou reinicializada. Para obter informações sobre AutoFS, consulte How Autofs Works no System Administration Guide: Network Services.

Cada região executa sua própria cópia de automountd. Os mapas automáticos e os tempos-limites são controlados pelo administrador da região. Não é possível acionar uma montagem em outra região atravessando-se um ponto de montagem do AutoFS para uma região não global a partir da região global.

Determinadas montagens do AutoFS são criadas no kernel quando outra montagem é acionada. Essas montagens não podem ser removidas usando-se a interface regular umount, porque devem ser montadas ou desmontadas como um grupo. Observe que esta funcionalidade é fornecida por desligamento de região.

MNTFS

MNTFS é um sistema de arquivos virtual que fornece acesso somente leitura à tabela de sistemas de arquivos montados para o sistema local. O conjunto de sistemas de arquivos visíveis usando-se mnttab a partir do interior da região não global é o conjunto de sistemas de arquivos montados na região, mais uma entrada para raiz (/) . Pontos de montagem com um dispositivo especial que não é acessível a partir do interior da região, como /dev/rdsk/c0t0d0s0, têm um conjunto de dispositivos semelhante ao do ponto de montagem. Todas as montagens no sistema são visíveis a partir da tabela /etc/mnttab da região global. Para obter mais informações sobre MNTFS, consulte o Capítulo 18, Mounting and Unmounting File Systems (Tasks), no System Administration Guide: Devices and File Systems.

NFS

Montagens do NFS estabelecidas no interior de uma região são locais para essa região. As montagens não podem ser acessadas a partir de outras regiões, inclusive a região global. As montagens são removidas quando a região é parada ou reinicializada.

Como documentado na página do manual mount_nfs(1M), um servidor de NFS não deve tentar montar seus próprios sistemas de arquivos. Assim, uma região não deve montar um sistema de arquivos NFS exportado pela região global. Regiões não podem ser servidores de NFS. A partir do interior de uma região, as montagens NFS se comportam como se montadas com a opção nodevices.

A saída do comando nfsstat somente pertence à região em que o comando é executado. Por exemplo, se o comando for executado na região global, somente informações a região global são relatadas. Para obter mais informações o comando nfsstat, consulte nfsstat(1M).

O comando zlogin falhará se qualquer um dos arquivos abertos ou qualquer parte do espaço de endereço residirem em NFS. Para obter mais informações, consulte Comando zlogin.

PROCFS

O sistema de arquivos /proc, ou PROCFS, fornece visibilidade de processos e restrições de acesso, assim como informações sobre a associação de regiões de processos. Somente processos na mesma região são visíveis através de /proc.

Processos na região global podem observar processos e outros objetos em regiões não globais. Isso permite que esses processos tenham uma observação do sistema geral.

A partir do interior de uma região, as montagens de procfs se comportam como se feitas com a opção nodevices. Para obter mais informações sobre procfs, consulte a página do manual proc(4).

LOFS

O escopo do que pode ser montado através de LOFS é limitado à parte do sistema de arquivos que é visível para a região. Assim, não há restrições a montagens LOFS em uma região.

UFS, UDFS, PCFS e outros sistemas de arquivos baseados em armazenamento

Ao usar o comando zonecfg para configurar sistemas de arquivos baseados em armazenamento que têm um binária fsck, como UFS, o administrador da região deve especificar um parâmetro raw. O parâmetro indica o dispositivo (caractere) básico, como /dev/rdsk/c0t0d0s7 . zoneadmd executa automaticamente o comando fsck em modo não interativo somente de verificação (fsck -m) neste dispositivo antes de montar o sistema de arquivos. Se fsck falhar, zoneadmd não pode colocar a região no estado de preparado. O caminho especificado por raw não pode ser um caminho relativo.

É um erro especificar um dispositivo para fsck de um sistema de arquivos que não fornece um binário fsck em /usr/lib/ fstype/fsck. É também um erro não especificar um dispositivo fsck se um binário fsck existir para esse sistema de arquivos.

Para obter mais informações, consulte O daemon zoneadmd e fsck(1M)

ZFS

Você pode adicionar um conjunto de dados ZFS a uma região não global usando o comando zonecfg com o recurso add dataset. O conjunto de dados será visível e montado em uma região não global e não mais visível na região global. O administrador de região pode criar e destruir sistemas de arquivos dentro desse conjunto de dados, criar e destruir clones e modificar as propriedades do conjunto de dados.

O atributo zoned de zfs indica se um conjunto de dados foi adicionado a uma região não global.

# zfs get zoned tank/sales NAME PROPERTY VALUE SOURCE tank/sales zoned on local

Se desejar compartilhar um conjunto de dados da região global, você pode adicionar um sistema de arquivos ZFS com montagem LOFS usando o comando zonecfg com o subcomando add fs. O administrador global é responsável para definição e pelo controle das propriedades do conjunto de dados.

Para mais informações sobre ZFS, consulte o Capítulo 10, Tópicos avançados do ZFS do Oracle Solaris, no Guia de administração do ZFS Oracle Solaris.