Gestion des zones (liste des tâches)

La liste ci-dessous décrit les tâches de gestion des zones qui sont spécifiques à Trusted Extensions. Elle contient également des liens vers des procédures courantes qui s'effectuent dans Trusted Extensions de la même manière que sur un système Oracle Solaris.

Tâche	Description	Voir
Visualisation de toutes les zones	À n'importe quelle étiquette, affiche les zones dominées par la zone en cours.	Procédure d'affichage des zones prêtes ou en cours d'exécution
Visualisation des répertoires montés	À n'importe quelle étiquette, affiche les répertoires dominés par l'étiquette en cours.	Procédure d'affichage des étiquettes de fichiers montés
Activation de la visualisation d'un fichier `/etc` pour des utilisateurs standard.	Monte en loopback à partir de la zone globale un répertoire ou un fichier qui n'est pas visible par défaut dans une zone globale.	Procédure de montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée
Désactivation de la visualisation par les utilisateurs standard d'un répertoire personnel de niveau inférieur à partir d'une étiquette supérieure	Par défaut, les répertoires de niveau inférieur sont visibles depuis les zones de niveau supérieur. Lorsque vous désactivez le montage d'une zone de niveau inférieur, vous désactivez tous les montages des zones de niveau inférieur.	Procédure de désactivation du montage pour les fichiers de niveau inférieur
Configuration d'une zone de manière à permettre la modification des étiquettes des fichiers	Les zones étiquetées disposent de privilèges limités. Par défaut, les zones étiquetées ne disposent pas du privilège permettant à un utilisateur autorisé de modifier l'étiquette d'un fichier. Vous modifiez la configuration de la zone pour ajouter ce privilège.	Procédure d'octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur
Ajout d'un ensemble de données ZFS dans une zone étiquetée et partage de l'ensemble	Monte un ensemble de données ZFS avec autorisations de lecture/écriture dans une zone étiquetée et partage l'ensemble de données en lecture seule avec une zone de niveau supérieur.	Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée.
Configuration d'une nouvelle zone	Crée une zone sous une étiquette qui n'est pas en cours d'utilisation pour permettre l'étiquetage d'une zone de ce système.	Reportez-vous à la section Procédure interactive de création de zones étiquetées.
Création d'un port multiniveau pour une application	Les ports multiniveau sont utiles pour les programmes qui nécessitent un flux multiniveau vers la zone étiquetée.	Procédure de création d'un port multiniveau pour une zone Exemple 16-19
Dépannage du montage NFS et des problèmes d'accès	Débogue les problèmes généraux d'accès pour les montages, et éventuellement les zones.	Dépannage des échecs de montage dans Trusted Extensions
Suppression d'une zone étiquetée	Supprime complètement une zone étiquetée du système.	Suppression d’une zone non globale du manuel Administration Oracle Solaris : Oracle Solaris Zones, Oracle Solaris 10 Zones et gestion des ressources

Procédure d'affichage des zones prêtes ou en cours d'exécution

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

Exécution de la commande txzonemgr &.
Les noms de zones, leur état et leurs étiquettes s'affichent dans une interface graphique.

Vous pouvez également utiliser la commande zoneadm list -v.

# zoneadm list -v
ID NAME       STATUS     PATH              BRAND       IP 
 0 global     running    /                 ipkg        shared
 5 internal   running    /zone/internal    labeled     shared
 6 public     running    /zone/public      labeled     shared

La sortie ne comporte pas les étiquettes des zones.

Procédure d'affichage des étiquettes de fichiers montés

Cette procédure crée un script shell qui affiche les systèmes de fichiers montés de la zone active. Lorsqu'il est exécuté à partir de la zone globale, le script affiche les étiquettes de tous les systèmes de fichiers montés dans chaque zone.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

Dans un éditeur, créez le script getmounts.
Indiquez le chemin d'accès du script, par exemple /usr/local/scripts/getmounts.

Ajoutez le contenu suivant et enregistrez le fichier :

#!/bin/sh
#
for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do
        /usr/bin/getlabel $i
done

Testez le script dans la zone globale.

# /usr/local/scripts/getmounts
/:      ADMIN_HIGH
/dev:   ADMIN_HIGH
/system/contract:        ADMIN_HIGH
/proc:                   ADMIN_HIGH
/system/volatile:        ADMIN_HIGH
/system/object:          ADMIN_HIGH
/lib/libc.so.1:          ADMIN_HIGH
/dev/fd:        ADMIN_HIGH
/tmp:           ADMIN_HIGH
/etc/mnttab:    ADMIN_HIGH
/export:        ADMIN_HIGH
/export/home:   ADMIN_HIGH
/export/home/jdoe:   ADMIN_HIGH
/zone/public:        ADMIN_HIGH
/rpool:              ADMIN_HIGH
/zone:               ADMIN_HIGH
/home/jdoe:          ADMIN_HIGH
/zone/public:        ADMIN_HIGH
/zone/snapshot:      ADMIN_HIGH
/zone/internal:      ADMIN_HIGH
...

Exemple 13-1 Affichage des étiquettes de systèmes de fichiers dans la zone restricted

Lorsqu'il est exécuté à partir d'une zone étiquetée par un utilisateur standard, le script getmounts affiche les étiquettes de tous les systèmes de fichiers montés dans cette zone. Sur un système où des zones sont créées pour chaque étiquette du fichier label_encodings par défaut, la sortie de test de la zone restricted se présente comme suit :

# /usr/local/scripts/getmounts
/:      CONFIDENTIAL : RESTRICTED
/dev:   CONFIDENTIAL : RESTRICTED
/kernel:        ADMIN_LOW
/lib:   ADMIN_LOW
/opt:   ADMIN_LOW
/platform:      ADMIN_LOW
/sbin:  ADMIN_LOW
/usr:   ADMIN_LOW
/var/tsol/doors:        ADMIN_LOW
/zone/needtoknow/export/home:   CONFIDENTIAL : NEED TO KNOW
/zone/internal/export/home:     CONFIDENTIAL : INTERNAL USE ONLY
/proc:  CONFIDENTIAL : RESTRICTED
/system/contract:       CONFIDENTIAL : RESTRICTED
/etc/svc/volatile:      CONFIDENTIAL : RESTRICTED
/etc/mnttab:    CONFIDENTIAL : RESTRICTED
/dev/fd:        CONFIDENTIAL : RESTRICTED
/tmp:   CONFIDENTIAL : RESTRICTED
/var/run:       CONFIDENTIAL : RESTRICTED
/zone/public/export/home:       PUBLIC
/home/jdoe:   CONFIDENTIAL : RESTRICTED

Procédure de montage en loopback d'un fichier qui n'est généralement pas visible dans une zone étiquetée

Cette procédure permet à un utilisateur dans une zone étiquetée spécifiée de visualiser des fichiers qui, par défaut, ne sont pas exportés depuis la zone globale.

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

Arrêtez la zone dont vous souhaitez modifier la configuration.
```
# zoneadm -z zone-name halt
```

Montez un fichier ou un répertoire en loopback.

Par exemple, autorisez les utilisateurs ordinaires à afficher un fichier dans le répertoire /etc.

# zonecfg -z zone-name
 add filesystem
 set special=/etc/filename
 set directory=/etc/filename
 set type=lofs
 add options [ro,nodevices,nosetuid]
 end
 exit

Démarrez la zone.
```
# zoneadm -z zone-name boot
```

Exemple 13-2 Montage en loopback du fichier /etc/passwd

Dans cet exemple, l'administrateur de sécurité souhaite permettre aux testeurs et aux programmeurs de vérifier que leurs mots de passe locaux sont définis. Une fois qu'elle a été arrêtée, la zone sandbox est configurée de manière à monter en loopback le fichier passwd. Ensuite, la zone est redémarrée.

# zoneadm -z sandbox halt
# zonecfg -z sandbox add filesystem set special=/etc/passwd set directory=/etc/passwd set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z sandbox boot

Procédure de désactivation du montage pour les fichiers de niveau inférieur

Par défaut, les utilisateurs peuvent visualiser les fichiers de niveau inférieur. Supprimez le privilège net_mac_aware pour empêcher l'affichage de tous les fichiers de niveau inférieur depuis une zone particulière. Pour une description du privilège net_mac_aware, reportez-vous à la page de manuel privileges(5).

Avant de commencer

Vous devez être dans le rôle d'administrateur système dans la zone globale.

Arrêtez la zone dont vous souhaitez modifier la configuration.
```
# zoneadm -z zone-name halt
```
Configurez la zone de manière à empêcher la visualisation des fichiers de niveau inférieur.
Supprimez le privilège net_mac_aware de la zone.
```
# zonecfg -z zone-name
 set limitpriv=default,!net_mac_aware
 exit
```
Redémarrez la zone.
```
# zoneadm -z zone-name boot
```

Exemple 13-3 Désactivation de la visualisation par les utilisateurs des fichiers de niveau inférieur

Dans cet exemple, l'administrateur de sécurité souhaite éviter toute confusion aux utilisateurs d'un système. Les utilisateurs ne doivent donc pouvoir visualiser que les fichiers correspondant à l'étiquette à laquelle ils travaillent. Pour ce faire, l'administrateur de sécurité empêche la visualisation de tous les fichiers de niveau inférieur. Sur ce système, les utilisateurs ne peuvent pas voir les fichiers mis à la disposition du public, à moins qu'ils ne travaillent sous l'étiquette PUBLIC. En outre, les utilisateurs peuvent uniquement monter des fichiers via NFS sous l'étiquette des zones.

# zoneadm -z restricted halt
# zonecfg -z restricted set limitpriv=default,!net_mac_aware exit
# zoneadm -z restricted boot

# zoneadm -z needtoknow halt
# zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit
# zoneadm -z needtoknow boot

# zoneadm -z internal halt
# zonecfg -z internal set limitpriv=default,!net_mac_aware exit
# zoneadm -z internal boot

Étant donné que PUBLIC est l'étiquette la plus basse, l'administrateur de sécurité n'exécute pas les commandes pour la zone PUBLIC.

Procédure de partage d'un ensemble de données ZFS à partir d'une zone étiquetée

Dans le cadre de cette procédure, vous montez un ensemble de données ZFS avec autorisations en lecture/écriture dans une zone étiquetée. Toutes les commandes étant exécutées dans la zone globale, l'administrateur de la zone globale contrôle l'ajout d'ensembles de données ZFS à des zones étiquetées.

L'état de la zone étiquetée doit être au minimum prêt pour qu'elle puisse partager un ensemble de données. L'état de la zone peut être en cours d'exécution.

Avant de commencer

Pour configurer la zone avec l'ensemble de données, vous devez d'abord arrêter la zone. Vous devez être dans le rôle root dans la zone globale.

Créez l'ensemble de données ZFS
```
# zfs create datasetdir/subdir
```
Le nom de l'ensemble de données peut inclure un répertoire, par exemple zone/data.
Dans la zone globale, arrêtez la zone étiquetée.
```
# zoneadm -z labeled-zone-name halt
```
Définissez le point de montage de l'ensemble de données.
```
# zfs set mountpoint=legacy datasetdir/subdir
```
Le paramétrage de la propriété mountpoint ZFS définit l'étiquette du point de montage lorsque celui-ci correspond à une zone étiquetée.
Activez l'ensemble de données à partager.
```
# zfs set sharenfs=on datasetdir/subdir
```
Ajoutez l'ensemble de données à la zone en tant que système de fichiers.
```
# zonecfg -z labeled-zone-name
# zonecfg:labeled-zone-name> add fs
# zonecfg:labeled-zone-name:dataset> set dir=/subdir
# zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir
# zonecfg:labeled-zone-name:dataset> set type=zfs
# zonecfg:labeled-zone-name:dataset> end
# zonecfg:labeled-zone-name> exit
```
Lorsque vous ajoutez l'ensemble de données en tant que système de fichiers, l'ensemble de données est monté au niveau du fichier /data dans la zone. Cette étape permet de s'assurer que l'ensemble de données n'est pas monté avant que la zone ne soit initialisée.
Initialisez la zone étiquetée.
```
# zoneadm -z labeled-zone-name boot
```
Lorsque la zone est initialisée, l'ensemble de données est automatiquement monté en tant que point de montage en lecture/écriture dans la zone labeled-zone-name avec l'étiquette de la zone labeled-zone-name.

Exemple 13-4 Partage et montage d'un ensemble de données ZFS à partir de zones étiquetées

Dans cet exemple, l'administrateur ajoute un ensemble de données ZFS à la zone needtoknow et partage l'ensemble de données. L'ensemble de données, zone/data est actuellement assigné au point de montage /mnt. Les utilisateurs de la zone restricted peuvent consulter l'ensemble de données.

Tout d'abord, l'administrateur arrête la zone.

# zoneadm -z needtoknow halt

Étant donné que l'ensemble de données est actuellement assigné à un autre point de montage, l'administrateur supprime l'assignation précédente, puis définit le nouveau point de montage.

# zfs set zoned=off zone/data
# zfs set mountpoint=legacy zone/data

Ensuite, l'administrateur partage l'ensemble de données.

# zfs set sharenfs=on zone/data

Puis, dans les interfaces interactives zonecfg, l'administrateur ajoute explicitement l'ensemble de données à la zone needtoknow.

# zonecfg -z needtoknow
# zonecfg:needtoknow> add fs
# zonecfg:needtoknow:dataset> set dir=/data
# zonecfg:needtoknow:dataset> set special=zone/data
# zonecfg:needtoknow:dataset> set type=zfs
# zonecfg:needtoknow:dataset> end
# zonecfg:needtoknow> exit

Ensuite, l'administrateur initialise la zone needtoknow.

# zoneadm -z needtoknow boot

L'ensemble de données est désormais accessible.

Les utilisateurs de la zone restricted dominant la zone needtoknow peuvent afficher l'ensemble de données monté en modifiant le répertoire /data. Du point de vue de la zone globale, ils utilisent le chemin complet de l'ensemble de données monté. Dans cet exemple, machine1 est le nom d'hôte du système qui inclut la zone étiquetée. L'administrateur a assigné ce nom d'hôte à une adresse IP non partagée.

# cd /net/machine1/zone/needtoknow/root/data

Erreurs fréquentes

Si la tentative d'accès à l'ensemble de données depuis l'étiquette de niveau supérieur renvoie l'erreur not found (introuvable) ou No such file or directory (Fichier ou répertoire introuvable), l'administrateur doit redémarrer le service de montage automatique à l'aide de la commande svcadm restart autofs.

Procédure d'octroi de l'autorisation à modifier l'étiquette de fichiers à un utilisateur

Cette procédure est indispensable pour permettre à un utilisateur de modifier l'étiquette de fichiers.

Avant de commencer

La zone que vous envisagez de configurer doit être arrêtée. Vous devez être dans le rôle d'administrateur de sécurité dans la zone globale.

Ouvrez le gestionnaire de zones étiquetées.
```
# /usr/sbin/txzonemgr &
```
Configurez la zone afin de permettre la modification de l'étiquette.
1. Double-cliquez sur la zone.
2. Dans la liste, sélectionnez l'option Permit Relabeling (Autoriser le nouvel étiquetage).
Sélectionnez Boot (Init) pour redémarrer la zone.
Cliquez sur Cancel (Annuler) pour retourner à la liste de zones.
Pour connaître les conditions à remplir par l'utilisateur et les processus, reportez-vous à la page de manuel setflabel(3TSOL). Pour autoriser un utilisateur à modifier l'étiquette de fichiers, reportez-vous à la section Procédure d'octroi de l'autorisation de modifier le niveau de sécurité de données à un utilisateur.

Exemple 13-5 Désactivation de la rétrogradation à partir de la zone internal

Dans cet exemple, l'administrateur de sécurité veut empêcher la rétrogradation des fichiers CNF: INTERNAL USE ONLY sur un système précédemment utilisé pour effectuer une rétrogradation de fichiers.

L'administrateur utilise le gestionnaire de zones étiquetées pour arrêter la zone internal puis, dans le menu de la zone internal, sélectionne Deny Relabeling (Refuser le nouvel étiquetage).

Ignorer les liens de navigation
Quitter l'aperu
	Configuration et administration d'Oracle Solaris Trusted Extensions Oracle Solaris 11 Information Library (Français)