ZFS fournit une propriété d'étiquette de sécurité (mlslabel) qui contient l'étiquette des données figurant dans le jeu de données. La propriété mlslabel peut être héritée. Lorsqu'un jeu de données ZFS dispose d'une étiquette explicite, le jeu de données ne peut pas être monté sur un système Oracle Solaris qui n'est pas configuré avec Trusted Extensions.
Si la propriété mlslabel n'est pas définie, elle est définie par défaut sur la chaîne none, ce qui indique qu'il n'y a aucune étiquette.
Lorsque vous montez un jeu de données ZFS dans une zone étiquetée, les opérations suivantes se produisent :
Si le jeu de données n'est pas étiqueté, c'est-à-dire si la propriété mlslabel n'est pas définie, la valeur de la propriété mlslabel est modifiée sur l'étiquette de la zone de montage.
Pour la zone globale, la propriété mlslabel n'est pas définie automatiquement. Si vous avez explicitement étiqueté le jeu de données admin_low, le jeu de données doit être monté en lecture seule.
Si le jeu de données est étiqueté, le noyau vérifie que l'étiquette du jeu de données correspond à celle de la zone montage. Si les étiquettes ne correspondent pas, le montage échoue, sauf si la zone autorise les montages "read-down". Lorsque la zone autorise les montages "read-down", les systèmes de fichiers de niveau inférieur sont montés en lecture seule.
Pour définir la propriété mlslabel à partir de la ligne de commande, respectez la syntaxe suivante :
# zfs set mlslabel=public export/publicinfo
Le privilège file_upgrade_sl est requis pour définir une étiquette initiale ou pour modifier une étiquette non définie par défaut sur une étiquette de niveau supérieur. Le privilège file_downgrade_sl est nécessaire pour supprimer une étiquette, c'est-à-dire, pour définir l'étiquette sur none. Ce privilège est également requis pour modifier une étiquette non définie par défaut sur une étiquette de niveau inférieur.