缺省情况下,用户可以查看较低级别文件。为防止从特定区域查看所有较低级别文件,请从该区域删除 net_mac_aware 特权。有关 net_mac_aware 特权的说明,请参见 privileges(5) 手册页。
开始之前
您必须具有全局区域中的 "System Administrator"(系统管理员)角色。
# zoneadm -z zone-name halt
从区域删除 net_mac_aware 特权。
# zonecfg -z zone-name set limitpriv=default,!net_mac_aware exit
# zoneadm -z zone-name boot
在此示例中,安全管理员防止一个系统中的用户被混淆。因此,用户只能查看其正在工作的标签的文件。从而,安全管理员可以阻止查看所有较低级别文件。在该系统中,用户无法看到公用文件,除非用户以 PUBLIC(公共)标签工作。此外,用户只能在区域的标签对文件进行 NFS 挂载。
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,!net_mac_aware exit # zoneadm -z restricted boot
# zoneadm -z needtoknow halt # zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit # zoneadm -z needtoknow boot
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,!net_mac_aware exit # zoneadm -z internal boot
因为 PUBLIC(公共)是最低级别标签,安全管理员不对 PUBLIC(公共)区域运行这些命令。