JavaScript is required to for searching.
Ignorer les liens de navigation
Quitter l'aperu
Guide d'administration système : Conteneurs Oracle Solaris-Gestion des ressources et Oracle Solaris Zones     Oracle Solaris 10 1/13 Information Library (Français)
Oracle Technology Network
Bibliothèque
PDF
Aperçu avant impression
Commentaires
search filter icon
search icon

Informations document

Préface

Partie I Gestion des ressources

1.  Introduction à la gestion des ressources Solaris 10

2.  Projets et tâches (présentation)

3.  Administration des projets et des tâches

4.  Comptabilisation étendue (présentation)

5.  Administration de la comptabilisation étendue (tâches)

6.  Contrôles des ressources (présentation)

7.  Administration des contrôles des ressources (tâches)

8.  Ordonnanceur FSS (présentation)

9.  Administration de l'ordonnanceur FSS (tâches)

10.  Contrôle de la mémoire physique à l'aide du démon de limitation des ressources (présentation)

11.  Administration du démon de limitation des ressources (tâches)

12.  Pools de ressources (présentation)

13.  Création et administration des pools de ressources (tâches)

14.  Exemple de configuration de la gestion des ressources

15.  Contrôle des ressources dans Solaris Management Console

Partie II Zones

16.  Introduction aux zones Solaris

17.  Configuration des zones non globales (présentation)

18.  Planification et configuration de zones non globales (tâches)

19.  A propos de l'installation, de l'arrêt, du clonage et de la désinstallation de zones non globales (présentation)

20.  Installation, initialisation, arrêt, désinstallation et clonage de zones non globales (tâches)

21.  Connexion à une zone non globale (présentation)

22.  Connexion à une zone non globale (tâches)

23.  Déplacement et migration de zones non globales (tâches)

24.  Oracle Solaris 10 9/10 : migration d'un système physique Oracle Solaris dans une zone (tâches)

25.  A propos des packages et des patchs sur un système Oracle Solaris doté de zones (présentation)

26.  Ajout et suppression de packages et de patchs sur un système Oracle Solaris comportant des zones installées (tâches)

27.  Administration d'Oracle Solaris Zones (présentation)

Nouveautés

Accès et visibilité de la zone globale

Visibilité des identificateurs de processus dans les zones

Capacité d'observation du système dans les zones

Nom de noeud dans une zone non globale

Systèmes de fichiers et zones non globales

Option -o nosuid

Montage de systèmes de fichiers dans les zones

Démontage de systèmes de fichiers dans les zones

Restrictions de sécurité et comportement du système de fichiers

Zones non globales en tant que clients NFS

Interdiction d'utiliser la commande mknod dans une zone

Parcours des systèmes de fichiers

Restriction d'accès à une zone non globale à partir de la zone globale

Mise en réseau dans des zones non globales en mode IP partagé

Partition de zone en mode IP partagé

Interfaces réseau en mode IP partagé

Trafic IP entre zones en mode IP partagé sur une même machine

Oracle Solaris IP Filter dans les zones en mode IP partagé

Multipathing sur réseau IP dans les zones en mode IP partagé

Oracle Solaris 10 8/07 : mise en réseau dans les zones non globales en mode IP exclusif

Partitionnement de zone en mode IP exclusif

Interfaces de liaison de données en mode IP exclusif

Trafic IP entre zones en mode IP exclusif sur la même machine

Oracle Solaris IP Filter dans les zones en mode IP exclusif

Multipathing sur réseau IP dans les zones en mode IP exclusif

Utilisation de périphériques dans les zones non globales

Répertoire /dev et espace de nom /devices

Périphérique d'utilisation exclusive

Gestion de pilote de périphérique

Dysfonctionnement ou modification d'utilitaires dans les zones non globales

Dysfonctionnement d'utilitaires dans les zones non globales

SPARC : Modification d'utilitaire pour une application dans les zones non globales

Exécution d'applications dans les zones non globales

Utilisation de contrôles de ressources dans les zones non globales

Ordonnanceur de partage équitable sur un système Oracle Solaris doté de zones

Division de partage FSS dans une zone non globale

Equilibre de partages entre zones

Comptabilisation étendue sur un système Oracle Solaris doté de zones

Privilèges dans une zone non globale

Utilisation de l'architecture de sécurité IP dans les zones

Architecture de sécurité IP dans les zones en mode IP partagé

Oracle Solaris 10 8/07 : architecture de sécurité IP dans les zones en mode IP exclusif

Utilisation de l'audit Oracle Solaris dans les zones

Configuration de l'audit dans la zone globale

Définition des critères d'audit utilisateur dans une zone non globale

Enregistrements d'audit pour une zone non globale spécifique

Dumps noyau dans les zones

Exécution de DTrace dans une zone non globale

A propos de la sauvegarde d'un système Oracle Solaris doté de zones

Sauvegarde des répertoires du système de fichiers en loopback

Sauvegarde du système à partir de la zone globale

Sauvegarde individuelle de zones non globales sur le système

Identification des éléments à sauvegarder dans les zones non globales

Sauvegarde des données d'application uniquement

Opérations générales de sauvegarde de base de données

Sauvegardes sur bande

A propos de la restauration de zones non globales

Commandes utilisées sur un système Oracle Solaris doté de zones

28.  Administration d'Oracle Solaris Zones (tâches)

29.  Mise à niveau d'un système Oracle Solaris 10 doté de zones non globales

30.  Dépannage des problèmes liés à Oracle Solaris Zones

Partie III Zones marquées lx

31.  A propos des zones marquées et de la zone marquée Linux

32.  Planification de la configuration de zone marquée lx (présentation)

33.  Configuration de la zone marquée lx (tâches)

34.  A propos de l'installation, de l'initialisation, de l'arrêt, du clonage et de la désinstallation des zones marquées lx (présentation)

35.  Installation, initialisation, arrêt, désinstallation et clonage de zones marquées lx (tâches)

36.  Connexion aux zones marquées lx (tâches)

37.  Déplacement et migration de zones marquées lx (tâches)

38.  Administration et exécution d'applications dans les zones marquées lx (tâches)

Glossaire

Index

Privilèges dans une zone non globale

Un sous-ensemble de privilèges limite les processus. La restriction au niveau des privilèges empêche une zone de réaliser des opérations qui pourraient avoir une incidence sur d'autres zones. L'ensemble de privilèges limite les possibilités d'action des utilisateurs disposant de privilèges au sein d'une zone. Pour afficher la liste des privilèges disponibles au sein d'une zone, exécutez l'utilitaire ppriv.

Le tableau suivant répertorie tous les privilèges Oracle Solaris et le statut qui leur est associé par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv. Les privilèges requis doivent être inclus dans l'ensemble des privilèges obtenu. Les privilèges interdits ne peuvent pas être inclus dans l'ensemble des privilèges obtenu.

La propriété limitpriv est disponible à compter de la version Solaris 10 11/06.

Tableau 27-1 Statut des privilèges dans les zones

Privilège
Statut
Remarques
cpc_cpu
Facultatif
Accès à certains compteurs cpc(3CPC)
dtrace_proc
Facultatif
Fournisseurs fasttrap et pid ; plockstat(1M)
dtrace_user
Facultatif
Fournisseurs profile et syscall
Graphics_access
Facultatif
Accès ioctl(2) à agpgart_io(7I)
Graphics_map
Facultatif
Accès mmap(2) à agpgart_io(7I)
net_rawaccess
Facultatif dans les zones en mode IP partagé

Par défaut dans les zones en mode IP exclusif
Accès au paquet PF_INET/PF_INET6 brut
proc_clock_highres
Facultatif
Utilisation d'horloges haute résolution
proc_priocntl
Facultatif
Contrôle de programmation ; priocntl(1)
sys_ipc_config
Facultatif
Augmentation de la taille du tampon de file d'attente des messages IP
sys_time
Facultatif
Manipulation du temps système ; xntp(1M)
dtrace_kernel
Interdit
Actuellement non pris en charge
proc_zone
Interdit
Actuellement non pris en charge
sys_config
Interdit
Actuellement non pris en charge
sys_devices
Interdit
Actuellement non pris en charge
sys_linkdir
Interdit
Actuellement non pris en charge
sys_net_config
Interdit
Actuellement non pris en charge
sys_res_config
Interdit
Actuellement non pris en charge
sys_suser_compat
Interdit
Actuellement non pris en charge
proc_exec
Requis, par défaut
Permet de démarrer init(1M )
proc_fork
Requis, par défaut
Permet de démarrer init(1M )
sys_mount
Requis, par défaut
Nécessaire dans le cadre du montage de systèmes de fichiers requis
sys_ip_config
Requis, par défaut dans les zones en mode IP exclusif

Interdit dans les zones en mode IP partagé
Requis pour initialiser la zone et le réseau IP dans les zones en mode IP exclusif
contract_event
Par défaut
Utilisé par le système de fichiers de contrat
contract_observer
Par défaut
Observation de contrat quel que soit l'ID utilisateur
file_chown
Par défaut
Modification de la propriété des fichiers
file_chown_self
Par défaut
Modification apportée au propriétaire/groupe de ses propres fichiers
file_dac_execute
Par défaut
Accès d'exécution quel que soit le mode ou la liste ACL
file_dac_read
Par défaut
Accès en lecture quel que soit le mode ou la liste ACL
file_dac_search
Par défaut
Accès de recherche quel que soit le mode ou la liste ACL
file_dac_write
Par défaut
Accès en écriture quel que soit le mode ou la liste ACL
file_link_any
Par défaut
Accès de liaison quel que soit le propriétaire
file_owner
Par défaut
Autre accès quel que soit le propriétaire
file_setid
Par défaut
Modification des autorisations pour les fichiers setid, setgid et setuid
ipc_dac_read
Par défaut
Accès en lecture IPC quel que soit le mode
ipc_dac_owner
Par défaut
Accès en écriture IPC quel que soit le mode
ipc_owner
Par défaut
Autre accès IPC quel que soit le mode
net_icmpaccess
Par défaut
Accès au paquet ICMP : ping(1M)
net_privaddr
Par défaut
Liaison aux ports avec privilèges
proc_audit
Par défaut
Génération d'enregistrements d'audit
proc_chroot
Par défaut
Modification du répertoire root
proc_info
Par défaut
Examen de processus
proc_lock_memory
Par défaut
Verrouillage de mémoire ; shmctl(2) et mlock(3C)

Si l'administrateur système a assigné ce privilège à une zone non globale, envisagez également de configurer le contrôle de ressources zone.max-locked-memory pour empêcher la zone de verrouiller la totalité de la mémoire.
proc_owner
Par défaut
Contrôle de processus quel que soit le propriétaire
proc_session
Par défaut
Contrôle de processus quelle que soit la session
proc_setid
Par défaut
Définition des ID d'utilisateur ou de groupe à convenance
proc_taskid
Par défaut
Assignation des ID de tâche à l'appelant
sys_acct
Par défaut
Gestion de la comptabilité
sys_admin
Par défaut
Tâches simples d'administration système
sys_audit
Par défaut
Gestion de l'audit
sys_nfs
Par défaut
Support client NFS
sys_resource
Par défaut
Manipulation de limite des ressources

Le tableau suivant répertorie tous les privilèges Oracle Solaris Trusted Extensions ainsi que leur statut par rapport aux zones. Les privilèges facultatifs ne font pas partie de l'ensemble par défaut des privilèges. Vous pouvez toutefois les spécifier à l'aide de la propriété limitpriv.

Remarque - Ces privilèges sont interprétés uniquement si le système est configuré avec Oracle Solaris Trusted Extensions.

Tableau 27-2 Statuts des privilèges Oracle Solaris Trusted Extensions dans les zones

Privilège Oracle Solaris Trusted Extensions
Statut
Remarques
File_downgrade_sl
Facultatif
Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle ne domine pas l'étiquette de sensibilité existante.
File_upgrade_sl
Facultatif
Définissez l'étiquette de sensibilité d'un fichier ou d'un répertoire de manière à ce qu'elle domine l'étiquette de sensibilité existante.
sys_trans_label
Facultatif
Traduction des étiquettes non dominées par l'étiquette de sensibilité
win_colormap
Facultatif
Redéfinition des restrictions de la palette des couleurs
win_config
Facultatif
Configuration ou destruction des ressources retenues en permanence par le serveur X
win_dac_read
Facultatif
Lecture à partir de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client
win_dac_write
Facultatif
Création de la ressource fenêtre qui n'appartient pas à l'ID utilisateur du client ou écriture dans celle-ci
win_devices
Facultatif
Réalisation d'opérations sur les périphériques d'entrée
win_dga
Facultatif
Utilisation des extensions du protocole X d'accès direct aux graphiques ; privilèges de mémoire graphique requis
win_downgrade_sl
Facultatif
Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette dominée par l'étiquette existante
win_fontpath
Facultatif
Ajout d'un chemin de police supplémentaire
win_mac_read
Facultatif
Lecture à partir de la ressource fenêtre avec une étiquette dominant l'étiquette du client
win_mac_write
Facultatif
Ecriture dans la ressource fenêtre avec une étiquette différente de l'étiquette du client
win_selection
Facultatif
Demande de déplacement de données sans intervention du confirmeur
win_upgrade_sl
Facultatif
Remplacement de l'étiquette de sensibilité de la ressource fenêtre par une nouvelle étiquette non dominée par l'étiquette existante
net_bindmlp
Par défaut
Autorisation de la liaison à un port multiniveau (MLP, multilevel port)
net_mac_aware
Par défaut
Autorisation de la lecture via NFS

Pour modifier les privilèges dans une configuration de zone non globale, reportez-vous à la section Configuration, vérification et validation d'une zone.

Pour examiner les ensembles de privilèges, reportez-vous à la section Utilisation de l'utilitaire ppriv. Pour plus d'informations sur les privilèges, voir la page de manuel ppriv(1) et le System Administration Guide: Security Services.

Copyright © 2004, 2013, Oracle et/ou ses affiliés. Tous droits réservés. Notice légale
Précédent Suivant