用于读取和写入文件的 MAC 策略无特权覆盖。如果区域的标签与单级别数据集的标签相同,则只能以读写方式挂载这些数据集。对于只读挂载,区域标签必须支配数据集标签。对于多级别数据集,所有文件和目录必须由 mlslabel 属性支配,此属性的缺省值为 ADMIN_HIGH。对于多级别数据集,强制在文件和目录级别下实施 MAC 策略。MAC 策略强制实施对所有用户均不可见。用户必须对对象具有 MAC 访问权限,才能看到此对象。
下面汇总了 Trusted Extensions 中适用于单级别数据集的共享和挂载策略:
为了使 Trusted Extensions 系统在其他 Trusted Extensions 系统上挂载文件系统,服务器和客户机必须具有 cipso 类型的兼容远程主机模板。
为了使 Trusted Extensions 系统从不可信系统挂载文件系统,Trusted Extensions 系统指定给不可信系统的单一标签必须匹配全局区域的标签。
同样,为了使有标签区域从不可信系统挂载文件系统,Trusted Extensions 系统指定给不可信系统的单一标签必须匹配有挂载区域的标签。
可以查看,但是不能修改使用 LOFS 挂载且其标签随挂载区域而异的文件。有关 NFS 挂载的详细信息,请参见Trusted Extensions 中的 NFS 服务器和客户机配置。
下面汇总了 Trusted Extensions 中适用于多级别数据集的共享和挂载策略:
对于要与其他系统共享多级别数据集的 Trusted Extensions 系统,NFS 服务器必须配置为多级别服务。
对于要与自身系统上有标签区域共享多级别数据集的 Trusted Extensions 系统,全局区域必须通过 LOFS 方式将数据集挂载到区域中。
有标签区域对其标签与区域标签匹配的那些已挂载 LOFS 的文件和目录具有写入访问权限,对其支配的文件和目录具有读取访问权限。强制在单个文件和目录级别下实施 MAC 策略。