De manera predeterminada, los usuarios pueden ver los archivos de nivel inferior. Para impedir la visualización de todos los archivos de nivel inferior de una zona determinada, elimine el privilegio net_mac_aware de esa zona. Para obtener una descripción del privilegio net_mac_aware, consulte la página del comando man privileges(5).
Antes de empezar
Debe estar con el rol de administrador del sistema en la zona global.
# zoneadm -z zone-name halt
Elimine el privilegio net_mac_aware de la zona.
# zonecfg -z zone-name set limitpriv=default,!net_mac_aware exit
# zoneadm -z zone-name boot
En este ejemplo, el administrador de la seguridad impide que los usuarios de un sistema se confundan. Por lo tanto, los usuarios pueden ver únicamente los archivos de la etiqueta en la que están trabajando. Entonces, el administrador de la seguridad impide la visualización de todos los archivos de nivel inferior. En este sistema, los usuarios no pueden ver los archivos que se encuentran disponibles públicamente, a menos que estén trabajando en la etiqueta PUBLIC. Además, los usuarios sólo pueden montar archivos en NFS en la etiqueta de las zonas.
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,!net_mac_aware exit # zoneadm -z restricted boot
# zoneadm -z needtoknow halt # zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit # zoneadm -z needtoknow boot
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,!net_mac_aware exit # zoneadm -z internal boot
Dado que PUBLIC es la etiqueta mínima, el administrador de la seguridad no ejecuta los comandos para la zona PUBLIC.