Configuración y administración de Trusted Extensions

Salir de la Vista de impresión

Actualización: Julio de 2014
 
 

Cómo desactivar el montaje de archivos de nivel inferior

De manera predeterminada, los usuarios pueden ver los archivos de nivel inferior. Para impedir la visualización de todos los archivos de nivel inferior de una zona determinada, elimine el privilegio net_mac_aware de esa zona. Para obtener una descripción del privilegio net_mac_aware, consulte la página del comando man privileges(5).

Antes de empezar

Debe estar con el rol de administrador del sistema en la zona global.

  1. Detenga la zona cuya configuración desea cambiar.
    # zoneadm -z zone-name halt
  2. Configure la zona para impedir la visualización de los archivos de nivel inferior.

    Elimine el privilegio net_mac_aware de la zona.

    # zonecfg -z zone-name
    set limitpriv=default,!net_mac_aware
    exit
  3. Reinicie la zona.
    # zoneadm -z zone-name boot
Ejemplo 13-3  Cómo impedir que los usuarios vean los archivos de nivel inferior

En este ejemplo, el administrador de la seguridad impide que los usuarios de un sistema se confundan. Por lo tanto, los usuarios pueden ver únicamente los archivos de la etiqueta en la que están trabajando. Entonces, el administrador de la seguridad impide la visualización de todos los archivos de nivel inferior. En este sistema, los usuarios no pueden ver los archivos que se encuentran disponibles públicamente, a menos que estén trabajando en la etiqueta PUBLIC. Además, los usuarios sólo pueden montar archivos en NFS en la etiqueta de las zonas.

# zoneadm -z restricted halt
# zonecfg -z restricted
set limitpriv=default,!net_mac_aware
exit
# zoneadm -z restricted boot
# zoneadm -z needtoknow halt
# zonecfg -z needtoknow
set limitpriv=default,!net_mac_aware
exit
# zoneadm -z needtoknow boot
# zoneadm -z internal halt
# zonecfg -z internal
set limitpriv=default,!net_mac_aware
exit
# zoneadm -z internal boot

Dado que PUBLIC es la etiqueta mínima, el administrador de la seguridad no ejecuta los comandos para la zona PUBLIC.