JavaScript is required to for searching.
Ignorar Links de Navegao
Sair do Modo de Exibio de Impresso
Guia de administração do sistema: gerenciamento de recursos do Oracle Solaris Containers e Oracle Solaris Zones     Oracle Solaris 10 1/13 Information Library (Português (Brasil))
Oracle Technology Network
Biblioteca
PDF
Modo de Exibio de Impresso
Feedback
search filter icon
search icon

Informação sobre o documento

Prefácio

Parte I Gerenciamento de Recursos

1.  Introdução ao gerenciador de recursos do Solaris 10

2.  Projetos e tarefas (visão geral)

3.  Administração de projetos e tarefas

4.  Contabilidade estendida (Visão geral)

5.  Administração da contabilidade estendida (tarefas)

6.  Controles de Recursos (Visão Geral)

7.  Administração de controles de recursos (Tarefas)

8.  Fair share scheduler (visão geral)

9.  Administração do fair share scheduler (tarefas)

10.  Controle da memória física usando o resource capping daemon (visão geral)

11.  Administração do resource capping daemon (tarefas)

12.  Pools de recursos (Visão geral)

13.  Criação e administração de pools de recursos (Tarefas)

14.  Exemplo de configuração de gerenciamento de recurso

15.  Funcionalidade do controle de recursos no Console de gerenciamento Solaris

Parte II Zonas

16.  Introdução ao Solaris Zones

17.  Configuração de zona não global (Visão geral)

18.  Planejamento e configuração de zonas não globais (Tarefas)

19.  Sobre instalação, parada, clonagem e desinstalação de zonas não globais (Visão geral)

20.  Instalação, inicialização, parada, desinstalação e clonagem de zonas não globais (Tarefas)

21.  Login na zona não global (Visão geral)

22.  Login em zonas não globais (Tarefas)

23.  Movendo e migrando zonas não globais (Tarefas)

24.  Oracle Solaris 10 9/10: migrando de um sistema Oracle Solaris físico para uma zona (Tarefas)

25.  Sobre pacotes e patches em um sistema do Oracle Solaris com zonas instaladas (Visão geral)

26.  Adicionando e removendo pacotes e patches em um sistema Oracle Solaris com zonas instaladas (Tarefas)

27.  Administração do Oracle Solaris Zones (Visão geral)

O que há de novo neste capítulo?

Visibilidade e acesso de zona global

Visibilidade de ID de processo em zonas

Observação do sistema em zonas

Nome do nó na zona não global

Sistemas de arquivos e zonas não globais

A opção -o nosuid

Montagem de sistemas de arquivos em zonas

Desmontagem de sistemas de arquivos em zonas

Restrições de segurança e comportamento do sistema de arquivos

Zonas não globais como clientes NFS

Uso de mknod proibido em uma zona

Atravessamento de sistemas de arquivos

Restrição de acesso a uma zona não global a partir da zona global

Conexão à rede em zonas não globais com IP compartilhado

Partição de zona com IP compartilhado

Interfaces de rede com IP compartilhado

Tráfego IP entre zona com IP compartilhado na mesma máquina

Filtro IP do Oracle Solaris em zonas com IP compartilhado

Vários caminhos de rede IP em zonas com IP compartilhado

Oracle Solaris 10 8/07: conexão à rede em zonas não globais com IP exclusivo

Partição de zona com IP exclusivo

Interfaces de link de dados com IP exclusivo

Tráfego IP entre zonas com IP exclusivo na mesma máquina

Filtro de IP do Oracle Solaris em zonas com IP Exclusivo

Vários caminhos de rede IP em zonas com IP exclusivo

Uso de dispositivo em zonas não globais

/dev e o espaço de nome /devices

Dispositivos de uso exclusivo

Administração de driver de dispositivo

Utilitários que não funcionam ou são modificados em zonas não globais

Utilitários que não funcionam em zonas não globais

SPARC: Utilitário modificado para uso em uma zona não global

Execução de aplicativos em zonas não globais

Controles de recursos em zonas não globais

Fair share scheduler em um sistema do Oracle Solaris com zonas instaladas

Divisão de compartilhamento do FSS em uma zona não global

Equilíbrio de compartilhamento entre zonas

Contabilidade estendida em um sistema do Oracle Solaris com zonas instaladas

Privilégios em uma zona não global

Uso da arquitetura de segurança IP em zonas

Arquitetura de segurança IP em zonas com IP compartilhado

Oracle Solaris 10 8/07: arquitetura de segurança IP em zonas com IP exclusivo

Usando a auditoria do Oracle Solaris em zonas

Configuração de auditoria na zona global

Configuração de características de auditoria de usuário em uma zona não global

Fornecimento de registros de auditoria para uma zona não global específica

Arquivos de núcleo em zonas

Execução do DTrace em uma zona não global

Sobre backup de um sistema Oracle Solaris com zonas instaladas

Backup de diretórios de sistema de arquivos de loopback

Backup do sistema a partir da zona global

Backup de zonas não globais individuais no sistema

Determinação do que fazer backup em zonas não globais

Backup somente de dados de aplicativos

Operações de backup de banco de dados geral

Backups de fita

Sobre restauração de zonas não globais

Comandos usados em um sistema do Oracle Solaris com zonas instaladas

28.  Administração do Oracle Solaris Zones (Tarefas)

29.  Atualização de um sistema Oracle Solaris 10 com zonas não globais instaladas

30.  Soluções diversas de problemas do Oracle Solaris Zones

Parte III 1x}Zonas não nativas

31.  Sobre zonas não nativas e zonas não nativas do Linux

32.  Planejamento da configuração da zona não nativa lx (Visão geral)

33.  Configuração de zonas não nativas lx (Tarefas)

34.  Sobre instalação, inicialização, parada, clonagem e desinstalação de zonas não nativas lx (Visão geral)

35.  Instalação, inicialização, parada, desinstalação e clonagem de zonas não nativas (branded) lx (Tarefas)

36.  Login em zonas não nativas lx (Tarefas)

37.  Movendo e migrando zonas não nativas lx (Tarefas)

38.  Administração e execução de aplicativos em zonas não nativas lx (Tarefas)

Glossário

Índice

Privilégios em uma zona não global

Processos são restritos a um subconjunto de privilégios. A restrição de privilégios impede que uma zona execute operações que possam afetar outras zonas. O conjunto de privilégios limita as capacidades de usuários privilegiados dentro da zona. Para exibir a lista de privilégios disponíveis dentro de uma zona, use o utilitário ppriv.

A tabela abaixo lista todos os privilégios do Oracle Solaris e o status de cada privilégio com relação às zonas. Privilégios opcionais não fazem parte do conjunto padrão de privilégios, mas podem ser especificados através da propriedade limitpriv . Privilégios necessários devem ser incluídos no conjunto de privilégios resultante. Privilégios proibidos não podem ser incluídos no conjunto de privilégios resultante.

A propriedade limitpriv está disponível a partir da versão Oracle Solaris 10 11/06.

Tabela 27-1 Status de privilégios em zonas

Privilégio
Status
Notas
cpc_cpu
Opcional
Acesso a determinados contadores cpc(3CPC)
dtrace_proc
Opcional
Provedores fasttrap e pid; plockstat(1M)
dtrace_user
Opcional
Provedores profile e syscall
graphics_access
Opcional
Acesso de ioctl(2) a agpgart_io(7I)
graphics_map
Opcional
Acesso de mmap(2) a agpgart_io(7I)
net_rawaccess
Opcional em zonas com IP compartilhado.

Padrão em zonas com IP exclusivo.
Acesso a pacote básico PF_INET/PF_INET6
proc_clock_highres
Opcional
Use de temporizadores de alta resolução
proc_priocntl
Opcional
Controle de agendamento; priocntl(1)
sys_ipc_config
Opcional
Aumento do tamanho do buffer de fila de mensagem de IPC
sys_time
Opcional
Manipulação de tempo do sistema; xntp(1M)
dtrace_kernel
Proibido
Sem suporte atualmente
proc_zone
Proibido
Sem suporte atualmente
sys_config
Proibido
Sem suporte atualmente
sys_devices
Proibido
Sem suporte atualmente
sys_linkdir
Proibido
Sem suporte atualmente
sys_net_config
Proibido
Sem suporte atualmente
sys_res_config
Proibido
Sem suporte atualmente
sys_suser_compat
Proibido
Sem suporte atualmente
proc_exec
Necessário, padrão
Usado para iniciar init(1M )
proc_fork
Necessário, padrão
Usado para iniciar init(1M )
sys_mount
Necessário, padrão
Necessário para montar sistemas de arquivos requeridos
sys_ip_config
Necessário, padrão em zonas com IP exclusivo

Proibido em zonas com IP compartilhado
Necessário para iniciar a zona e inicializar a conexão à rede IP em zona de IP exclusivo
contract_event
Padrão
Usado por sistema de arquivos de contrato
contract_observer
Padrão
Observação de contrato independentemente de UID
file_chown
Padrão
Alterações de posse de arquivo
file_chown_self
Padrão
Alterações de proprietário/grupo para arquivos próprios
file_dac_execute
Padrão
Executa acesso independentemente de modo/ACL
file_dac_read
Padrão
Lê acesso independentemente de modo/ACL
file_dac_search
Padrão
Procura acesso independentemente de modo/ACL
file_dac_write
Padrão
Grava acesso independentemente de modo/ACL
file_link_any
Padrão
Vincula acesso independentemente de proprietário
file_owner
Padrão
Outro acesso independentemente de proprietário
file_setid
Padrão
Alterações de permissão para os arquivos setid, setgid, setuid
ipc_dac_read
Padrão
Acesso de leitura IPC independentemente de modo
ipc_dac_owner
Padrão
Acesso de gravação IPC independentemente de modo
ipc_owner
Padrão
Outro acesso IPC independentemente de modo
net_icmpaccess
Padrão
Acesso de pacote ICMP: ping(1M)
net_privaddr
Padrão
Vinculação a portas privilegiadas
proc_audit
Padrão
Geração de registros de auditoria
proc_chroot
Padrão
Alteração de diretório root
proc_info
Padrão
Exame de processo
proc_lock_memory
Padrão
Bloqueio de memória; shmctl(2)e mlock(3C)

Se o administrador de sistema atribuir este privilégio a uma zona não global, considere também definir o controle de recurso zone.max-locked-memory para impedir que a zona bloqueie toda a memória.
proc_owner
Padrão
Controle de processo independentemente de proprietário
proc_session
Padrão
Controle de processo independentemente de sessão
proc_setid
Padrão
Configuração de usuário/grupo à discrição
proc_taskid
Padrão
Atribuição de IDs de tarefa a chamador
sys_acct
Padrão
Gerenciamento de contabilidade
sys_admin
Padrão
Tarefas simples de administração de sistema
sys_audit
Padrão
Gerenciamento de auditoria
sys_nfs
Padrão
Suporte a cliente NFS
sys_resource
Padrão
Manipulação de limite de recursos

A tabela abaixo lista todos os privilégios do Oracle Solaris Trusted Extensions e o status de cada privilégio com relação às zonas. Privilégios opcionais não fazem parte do conjunto padrão de privilégios, mas podem ser especificados através da propriedade limitpriv .

Observação - Esses privilégios são interpretados somente se o sistema está configurado com Oracle Solaris Trusted Extensions.

Tabela 27-2 Status dos privilégios do Oracle Solaris Trusted Extensions em zonas

Privilégio do Oracle Solaris Trusted Extensions
Status
Notas
file_downgrade_sl
Opcional
Defina a legenda de sensibilidade do arquivo ou diretório para uma legenda de sensibilidade que não domine a legenda de sensibilidade existente
file_upgrade_sl
Opcional
Defina a legenda de sensibilidade do arquivo ou diretório para uma legenda de sensibilidade que domine a legenda de sensibilidade existente
sys_trans_label
Opcional
Rótulos de conversão não dominados por rótulo de sensibilidade
win_colormap
Opcional
Substituição de restrições a mapa de cores
win_config
Opcional
Configura ou destrói recursos que são retidos permanentemente pelo servidor X
win_dac_read
Opcional
Leitura do recurso de janela não pertencente ao ID de usuário do cliente
win_dac_write
Opcional
Gravação em ou criação de recurso de janela não pertencente ao ID de usuário do cliente
win_devices
Opcional
Desempenho de operações em dispositivos de entrada.
win_dga
Opcional
Uso de extensões de protocolo X para acesso de gráfico; privilégios de buffer de quadro necessários
win_downgrade_sl
Opcional
Alteração de rótulo de sensibilidade da janela de recursos para novo rótulo dominado pelo rótulo existente
win_fontpath
Opcional
Adição de um caminho de fonte adicional
win_mac_read
Opcional
Leitura do recurso de janela com um rótulo que domina o rótulo do cliente
win_mac_write
Opcional
Gravação no recurso de janela com um rótulo não igual ao rótulo do cliente
win_selection
Opcional
Movimento de dados de solicitação sem intervenção do confirmador
win_upgrade_sl
Opcional
Alteração de rótulo de sensibilidade de recurso de janela para um novo rótulo não dominado por rótulo existente
net_bindmlp
Padrão
Permite vinculação a uma porta de vários níveis (MLP)
net_mac_aware
Padrão
Permite leitura para baixo através de NFS

Para alterar privilégios em uma zona não global, consulte Configuração, verificação e confirmação de uma zona.

Para inspecionar conjuntos de privilégios, consulte Uso do utilitário ppriv. Para obter mais informações sobre privilégios, consulte a página man ppriv(1) e System Administration Guide: Security Services.

Copyright © 2004, 2013, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados e de titularidade da Oracle Corporation. Proibida a reprodução total ou parcial. Advertência legal
Anterior Próximo