Par défaut, les utilisateurs peuvent visualiser les fichiers de niveau inférieur. Pour empêcher l'affichage de tous les fichiers de niveau inférieur depuis une zone particulière, supprimez le privilège net_mac_aware à partir de cette zone. Pour une description du privilège net_mac_aware, reportez-vous à la page de manuel privileges(5).
Avant de commencer
Vous devez être dans le rôle d'administrateur système dans la zone globale.
# zoneadm -z zone-name halt
Supprimez le privilège net_mac_aware de la zone.
# zonecfg -z zone-name set limitpriv=default,!net_mac_aware exit
# zoneadm -z zone-name boot
Dans cet exemple, l'administrateur de sécurité évite toute confusion aux utilisateurs d'un système. Les utilisateurs ne doivent donc pouvoir visualiser que les fichiers correspondant à l'étiquette à laquelle ils travaillent. Pour ce faire, l'administrateur de sécurité empêche la visualisation de tous les fichiers de niveau inférieur. Sur ce système, les utilisateurs ne peuvent pas voir les fichiers mis à la disposition du public, à moins qu'ils ne travaillent sous l'étiquette PUBLIC. En outre, les utilisateurs peuvent uniquement monter des fichiers via NFS sous l'étiquette des zones.
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,!net_mac_aware exit # zoneadm -z restricted boot
# zoneadm -z needtoknow halt # zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit # zoneadm -z needtoknow boot
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,!net_mac_aware exit # zoneadm -z internal boot
Etant donné que PUBLIC est l'étiquette la plus basse, l'administrateur de sécurité n'exécute pas les commandes pour la zone PUBLIC.