对于多级别数据集,会以文件和目录粒度(而不是文件系统粒度)强制实施 MAC 读写策略。
多级别数据集只能挂载在全局区域中。有标签区域只能通过使用 zonecfg 命令指定的 LOFS 挂载点访问多级别数据集。有关过程,请参见如何创建和共享多级别数据集。全局区域或有标签区域中具有适当特权的进程能够对文件和目录重新设置标签。有关重新设置标签的示例,请参见Trusted Extensions 用户指南 。
在全局区域中,可以查看多级别数据集中的所有文件。可以修改标记有 ADMIN_HIGH 的已挂载文件。
在有标签区域中,可通过 LOFS 挂载多级别数据集。可查看与区域具有相同标签或级别低于区域标签的已挂载文件。可以修改与区域具有相同标签的已挂载文件。
多级别数据集还可以通过 NFS 从全局区域进行共享。远程客户机可以查看受其网络标签支配的文件,修改具有相同标签的文件。但是,无法为已挂载 NFS 的多级别数据集重新设置标签。有关 NFS 挂载的信息,请参见挂载来自其他系统的多级别数据集。
有关更多信息,请参见需要为文件重新设置标签的多级别数据集。