JavaScript is required to for searching.
Navigationslinks überspringen
Druckansicht beenden
SystemAdministrationshandbuch: Oracle Solaris Container - RessourcenAdministration und Solaris Zones     Oracle Solaris 10 1/13 Information Library (Deutsch)
Oracle Technologienetzwerk
Bibliothek
PDF
Druckansicht
Feedback
search filter icon
search icon

Dokumentinformationen

Vorwort

Teil I Ressourcenmanagement

1.  Einführung in Solaris 10-RessourcenAdministration

2.  Einführung in Projekte und Aufgaben

3.  Verwalten von Projekten und Aufgaben (Vorgehen)

4.  Einführung in das Extended Accounting

5.  Verwalten des Extended Accounting (Vorgehen)

6.  Einführung in die Resource Controls

7.  Verwalten von Resource Controls (Vorgehen)

8.  Einführung in den Fair Share Scheduler

9.  Verwalten des Fair Share Scheduler (Vorgehen)

10.  Einführung in die Steuerung des reellen Arbeitsspeichers mithilfe des Resource Capping Daemons

11.  Verwalten des Resource Capping Daemons (Vorgehen)

12.  Einführung in Resource Pools

13.  Erstellen und Verwalten von Resource Pools (Vorgehen)

14.  Beispiel für die Konfiguration der RessourcenAdministration

15.  Resource Controls in der Solaris Management-Konsole

Teil II Zonen

16.  Einführung in Solaris Zones

17.  Einführung in die Konfiguration einer nicht-globalen Zone

18.  Planen und Konfigurieren von nicht-globalen Zonen (Vorgehen)

19.  Einführung in das Installieren, Anhalten, Klonen und Deinstallieren von nicht-globalen Zonen

20.  Installieren, Booten, Anhalten, Deinstallieren und Klonen von nicht-globalen Zonen (Vorgehen)

21.  Einführung in das Anmeldeverfahren bei einer nicht-globalen Zone

22.  Anmelden bei nicht-globalen Zonen (Vorgehen)

23.  Verschieben und Migrieren von nicht-globalen Zonen (Vorgehen)

24.  Oracle Solaris 10 9/10: Migrieren eines reellen Oracle Solaris-Systems in eine Zone (Aufgaben)

25.  Informationen zu den Paketen und Patches auf einem Oracle Solaris-System mit installierten Zonen (Überblick)

26.  Hinzufügen und Entfernen von Paketen und Patches auf einem Oracle Solaris-System mit installierten Zonen (Aufgaben)

27.  Verwaltung der Oracle Solaris-Zonen (Überblick)

Neuerungen in diesem Kapitel

Sichtbarkeit und Zugriff in einer globalen Zone

Sichtbarkeit von Prozess-IDs in Zonen

System-Überwachbarkeit in Zonen

Knotennamen in nicht-globalen Zonen

Dateisysteme und nicht-globale Zonen

Die Option -o nosuid

Einhängen von Dateisystemen in Zonen

Aushängen von Dateisystemen in Zonen

Sicherheitseinschränkungen und Dateisystemverhalten

Nicht-globale Zonen als NFS-Clients

Verwendung von mknod in einer Zone nicht gestattet

Durchlaufen von Dateisystemen

Einschränken des Zugriffs von der globalen Zone auf eine nicht-globale Zone

Netzwerkverbindungen in nicht-globalen Shared IP-Zonen

Partitionierung von Shared IP-Zonen

Shared IP-Netzwerkschnittstellen

IP-Verkehr zwischen Shared IP-Zonen auf dem gleichen Computer

Oracle Solaris IP-Filter in Shared IP-Zonen

IP-Netzwerk-Multipathing in Shared IP-Zonen

Oracle Solaris 10 8/07: Netzwerkverbindungen in nicht-globalen Exclusive IP-Zonen

Partitionierung von Exclusive IP-Zonen

Exclusive IP-Verbindungsschnittstellen

IP-Verkehr zwischen Exclusive IP-Zonen auf dem gleichen Computer

Oracle Solaris IP-Filter in Exclusive-IP-Zonen

IP Network Multipathing in Exclusive IP-Zonen

Gerätenutzung in nicht-globalen Zonen

/dev und der /devices-Namespace

Geräte mit exklusiver Nutzung

Administration der Gerätetreiber

Serviceprogramme, die in nicht-globalen Zonen nicht ausgeführt werden können oder modifiziert sind

Serviceprogramme, die in nicht-globalen Zone nicht ausgeführt werden können

SPARC: Serviceprogramm für die Verwendung in einer nicht-globalen Zone modifiziert

Ausführen von Anwendungen nicht-globalen Zonen

Resource Controls in nicht-globalen Zonen

Fair Share Scheduler auf einem Oracle Solaris-System mit installierten Zonen

Aufteilung der FSS-Shares in einer nicht-globalen Zone

Share-Verteilung zwischen Zonen

Extended Accounting in einem Oracle Solaris-System mit installierten Zonen

Berechtigungen in einer nicht-globalen Zone

Verwenden der IP-Sicherheitsarchitektur in Zonen

IP-Sicherheitsarchitektur in Shared IP-Zonen

Oracle Solaris 10 8/07: IP-Sicherheitsarchitektur in Exclusive IP-Zonen

Verwenden des Oracle Solaris-Auditings in Zonen

Konfigurieren des Auditing in der globalen Zone

Konfigurieren vom Benutzer-Audit-Eigenschaften in einer nicht-globalen Zone

Bereitstellen von Audit-Datensätzen für eine bestimmte nicht-globale Zone

Core-Dateien in Zonen

Ausführen von DTrace in einer nicht-globalen Zone

Informationen zum Backup eines Oracle Solaris-Systems mit installierten Zonen

Sichern der Loopback-Dateisystemverzeichnisse

Sichern eines Systems von der globalen Zone

Sichern einzelner nicht-globaler Zonen auf einem System

Festlegen der in nicht-globalen Zonen zu sichernden Daten

Sichern nur der Anwendungsdaten

Allgemeine Vorgänge bei der Sicherung von Datenbanken

Sicherungen auf Band

Allgemeine Informationen zum Wiederherstellen von nicht-globalen Zonen

Befehle, die in einem Oracle Solaris-System mit installierten Zonen verwendet werden

28.  Verwaltung der Oracle Solaris-Zonen (Aufgaben)

29.  Aktualisieren eines Oracle Solaris 10-Systems mit installierten nicht-globalen Zonen

30.  Behebung von verschiedenen Problemen mit Oracle Solaris Zones

Teil III lx Branded Zones

31.  Allgemeine Informationen zu Branded Zones und der Linux Branded Zone

32.  Einführung in die Planung der Konfiguration einer lx Branded Zone

33.  Konfigurieren einer lx Branded Zone (Vorgehen)

34.  Einführung in das Installieren, Booten, Anhalten, Klonen und Deinstallieren von lx Branded Zones

35.  Installieren, Booten, Anhalten, Deinstallieren und Klonen von lx Branded Zones (Vorgehen)

36.  Anmelden bei lx Branded Zones (Vorgehen)

37.  Verschieben und Migrieren von lx Branded Zones (Vorgehen)

38.  Verwalten und Ausführen von Anwendungen in lx Branded Zones (Vorgehen)

Glossar

Index

Berechtigungen in einer nicht-globalen Zone

Prozesse sind auf bestimmte Berechtigungen beschränkt. Die Einschränkung von Berechtigungen verhindert, dass Vorgänge in einer Zone ausgeführt werden, die sich auf andere Zonen auswirken könnten. Die Berechtigungen schränken die Möglichkeiten berechtigter Benutzer auf die jeweilige Zone ein. Zum Anzeigen einer Liste der in einer Zone verfügbaren Berechtigungen verwenden Sie das Serviceprogramm ppriv.

In der folgenden Tabelle sind alle Oracle Solaris-Berechtigungen und der Status jeder Berechtigung in Bezug auf Zonen aufgeführt. Optionale Berechtigungen, die nicht zu den Standardberechtigungen gehören, können über die Eigenschaft limitpriv angegeben werden. Erforderliche Berechtigungen müssen in das resultierende Berechtigungsset aufgenommen sein. Verbotene Berechtigungen können im resultierenden Berechtigungsset nicht enthalten sein.

Die Eigenschaft limitpriv wurde mit Oracle Solaris-Version 10 11/06 eingeführt.

Tabelle 27-1 Status von Berechtigungen in Zonen

Berechtigung
Status
Anmerkung
cpc_cpu
Optional
Zugriff auf bestimmte cpc(3CPC)-Zähler
dtrace_proc
Optional
fasttrap- und pid-Provider; plockstat(1M)
dtrace_user
Optional
profile- und syscall-Provider
graphics_access
Optional
ioctl(2) Zugriff auf agpgart_io(7I)
graphics_map
Optional
mmap(2) Zugriff auf agpgart_io(7I)
net_rawaccess
Optional in Shared IP-Zonen.

Standard in Exclusive IP-Zonen.
Raw PF_INET/PF_INET6-Paketzugriff
proc_clock_highres
Optional
Verwendung von hochauflösenden Timern
proc_priocntl
Optional
Scheduling-Steuerung; priocntl(1)
sys_ipc_config
Optional
Anheben der Puffergröße der IPC-Nachrichtenwarteschlange
sys_time
Optional
Manipulation der Systemzeit; xntp(1M)
dtrace_kernel
Verboten
Wird derzeit nicht unterstützt
proc_zone
Verboten
Wird derzeit nicht unterstützt
sys_config
Verboten
Wird derzeit nicht unterstützt
sys_devices
Verboten
Wird derzeit nicht unterstützt
sys_linkdir
Verboten
Wird derzeit nicht unterstützt
sys_net_config
Verboten
Wird derzeit nicht unterstützt
sys_res_config
Verboten
Wird derzeit nicht unterstützt
sys_suser_compat
Verboten
Wird derzeit nicht unterstützt
proc_exec
Erforderlich, Standard
Dient zum Starten von init(1M )
proc_fork
Erforderlich, Standard
Dient zum Starten von init(1M )
sys_mount
Erforderlich, Standard
Erforderlich zum Einhängen von erforderlichen Dateisystemen
sys_ip_config
Erforderlich, Standard in Exclusive IP-Zonen

Verboten in Shared IP-Zonen
Erforderlich für die Boot-Zone und zum Initialisieren von IP-Netzverbindungen in einer Exclusive IP-Zone
contract_event
Standard
Verwendet vom Contract-Dateisystem
contract_observer
Standard
Contract-Überwachung ungeachtet der UID
file_chown
Standard
Änderungen bei der Datei-Eigentümerschaft
file_chown_self
Standard
Eigentümer/Gruppenänderungen für eigene Dateien
file_dac_execute
Standard
Ausführungszugriff ungeachtet von Modus/ACL
file_dac_read
Standard
Lesezugriff ungeachtet von Modus/ACL
file_dac_search
Standard
Suchzugriff ungeachtet von Modus/ACL
file_dac_write
Standard
Schreibzugriff ungeachtet von Modus/ACL
file_link_any
Standard
Verbindungszugriff ungeachtet des Eigentümers
file_owner
Standard
Anderer Zugriff ungeachtet des Eigentümers
file_setid
Standard
Berechtigungsänderungen für die Dateien setid, setgid, setuid
ipc_dac_read
Standard
IPC-Lesezugriff ungeachtet des Modus
ipc_dac_owner
Standard
IPC-Schreibzugriff ungeachtet des Modus
ipc_owner
Standard
IPC-sonstiger Zugriff ungeachtet des Modus
net_icmpaccess
Standard
ICMP-Paketzugriff: ping(1M)
net_privaddr
Standard
Bindung an berechtigte Ports
proc_audit
Standard
Erzeugung von Audit-Datensätzen
proc_chroot
Standard
Änderung des root-Verzeichnisses
proc_info
Standard
Prozess-Untersuchung
proc_lock_memory
Standard
Sperren des Speichers; shmctl(2) und mlock(3C)

Wenn diese Berechtigung einer nicht-globalen Zone vom Systemadministrator zugeordnet wurde, muss auch die Resource Control zone.max-locked-memory gesetzt werden, um zu verhindern, dass die Zone den gesamten Speicher sperrt.
proc_owner
Standard
Prozesskontrolle ungeachtet des Eigentümers
proc_session
Standard
Prozesskontrolle ungeachtet der Sitzung
proc_setid
Standard
Willkürliche Einstellung von Benutzer/Gruppen-IDs
proc_taskid
Standard
Zuweisung von Aufgaben-IDs zum Aufrufer
sys_acct
Standard
Accounting-Administration
sys_admin
Standard
Einfache Systemadministrationsaufgaben
sys_audit
Standard
Auditing-Administration
sys_nfs
Standard
NFS-Client-Unterstützung
sys_resource
Standard
Bearbeiten der Ressourcengrenzen

In der folgenden Tabelle sind alle Oracle Trusted Solaris Extensions-Berechtigungen und der Status jede Berechtigung in Bezug auf die Zonen aufgeführt. Optionale Berechtigungen, die nicht zu den Standardberechtigungen gehören, können über die Eigenschaft limitpriv angegeben werden.

Hinweis - Diese Berechtigungen werden nur dann ausgewertet, wenn das System mit Oracle Solaris Trusted Extensions konfiguriert ist.

Tabelle 27-2 Status von Oracle Solaris Trusted Extensions-Berechtigungen in Zonen

Oracle Solaris Trusted Extensions-Berechtigung
Status
Anmerkung
file_downgrade_sl
Optional
Stellen Sie das Sensitivity Label der Datei oder des Verzeichnisses so ein, dass es das existierende Sensitivity Label nicht dominiert.
file_upgrade_sl
Optional
Stellen Sie das Sensitivity Label der Datei oder des Verzeichnisses so ein, dass es das existierende Sensitivity Label dominiert.
sys_trans_label
Optional
Label übersetzen, die nicht von einem Sensitivity Label dominiert sind
win_colormap
Optional
Colormap-Einschränkungen außer Kraft setzen
win_config
Optional
Konfigurieren oder Löschen von Ressourcen, die permanent vom XServer aufbewahrt werden
win_dac_read
Optional
Lesen aus einer Window-Ressource, die nicht das Eigentum der Benutzer-ID des Client ist
win_dac_write
Optional
Schreiben oder Erstellen einer Window-Ressource, die nicht das Eigentum der Benutzer-ID des Client ist
win_devices
Optional
Ausführen von Vorgängen an Eingabegeräten.
win_dga
Optional
Verwenden der X-Protokollerweiterungen für den Grafikzugriff; Frame Buffer-Berechtigungen erforderlich
win_downgrade_sl
Optional
Ändern des Sensitivity Label der Window-Ressource auf ein neues Label, das vom vorhandenen Label dominiert wird
win_fontpath
Optional
Hinzufügen eines zusätzlichen Schriftartpfads
win_mac_read
Optional
Lesen aus einer Window-Ressource mit einem Label, das das Client-Label dominiert
win_mac_write
Optional
Schreiben in eine Window-Ressource mit einem Label, das dem Client-Label nicht gleicht
win_selection
Optional
Anfordern von Datenverschiebungen ohne Anzeigen einer Bestätigungsaufforderung
win_upgrade_sl
Optional
Ändern des Sensitivity Label der Window-Ressource auf ein neues Label, das nicht vom vorhandenen Label dominiert wird
net_bindmlp
Standard
Ermöglicht das Binden an einen Multilevel Port (MLP)
net_mac_aware
Standard
Ermöglicht das Lesen über NFS

Wie Sie Berechtigungen in der Konfiguration einer nicht globalen Zone ändern, finden Sie unter Konfigurieren, Prüfen und Festschreiben einer Zone.

Informationen zum Anzeigen von Berechtigungssets finden Sie unter Verwenden des Serviceprogramms ppriv. Weitere Informationen zu Berechtigungen finden Sie in der Manpage ppriv(1) und im System Administration Guide: Security Services.

Copyright © 2004, 2013, Oracle und/oder verbundene Unternehmen. All rights reserved. Alle Rechte vorbehalten. Rechtliche Hinweise
Zurück Weiter