将 Trusted Extensions 软件添加到全局区域中的 Oracle Solaris。然后配置有标签的非全局区域。您可以为每个唯一标签创建一个或多个有标签区域,但不需要为 label_encodings 文件中的每个标签创建区域。使用提供的脚本,可以轻松地为 label_encodings 文件中的缺省用户标签和缺省用户安全许可创建两个有标签区域。
在创建有标签区域之后,一般用户可以使用配置的系统,但这些用户将无法访问其他系统。要进一步隔离在同一标签下运行的服务,可以创建辅助区域。有关更多信息,请参见有标签主区域和有标签辅助区域。
在 Trusted Extensions 中,连接到 X 服务器的本地传输是 UNIX 域套接字。缺省情况下,X 服务器不会侦听 TCP 连接。
缺省情况下,非全局区域不能与不可信主机通信。您必须指定每个区域可以访问的显式远程主机 IP 地址或网络掩码。
Trusted Extensions 区域(即,有标签区域)是 Oracle Solaris Zones 的标记。有标签区域主要用于分离数据。在 Trusted Extensions 中,一般用户不能远程登录到有标签区域(从另一个可信系统的同等有标签区域中登录除外)。授权管理员可以从全局区域访问有标签区域。有关区域标记的更多信息,请参见 brands(5) 手册页。
Trusted Extensions 中的区域创建类似于 Oracle Solaris 中的区域创建。Trusted Extensions 提供了 txzonemgr 脚本以指导您完成该进程。该脚本具有几个命令行选项,可用于自动创建有标签区域。有关更多信息,请参见 txzonemgr(1M) 手册页。
在正确配置的系统中,每个区域都必须能够使用网络地址与共享同一标签的其他区域进行通信。通过以下配置,有标签区域可以对其他有标签区域进行访问:
all-zones 接口-指定一个 all-zones 地址。在此缺省配置中,只需要一个 IP 地址。每个区域(全局区域和有标签区域)可以通过此共享地址与远程系统上的相同有标签区域进行通信。
此配置的精细之处在于为全局区域创建第二个 IP 实例,以便专门使用。这个第二个实例不是一个 all-zones 地址。此 IP 实例可以用于托管多级别服务,或提供通往专用子网的路由。
IP 实例-与在 Oracle Solaris OS 中一样,为每个区域(包括全局区域)指定一个 IP 地址。区域共享 IP 栈。在最简单的情况下,所有区域共享同一个物理接口。
此配置的精细之处是为每个区域指定一个单独的网络信息卡 (network information card, NIC)。这种配置可用于使用物理方式分离与每个 NIC 关联的单标签网络。
更精细之处在于除 IP 实例之外,每个区域使用一个或多个 all-zones 接口。该配置提供了使用内部接口(例如 vni0)访问全局区域的选项,因此可保护全局区域免遭远程攻击。例如,在全局区域中 vni0 实例上绑定多级别端口的特权服务只能由使用共享栈的区域在内部进行访问。
专用 IP 栈-与在 Oracle Solaris 中一样,为每个区域(包括全局区域)指定一个 IP 地址。为每个有标签区域创建一个虚拟网络接口卡 (virtual network interface card, VNIC)。
此配置的精细之处在于通过一个单独的网络接口创建每个 VNIC。这种配置可用于使用物理方式分离与每个 NIC 关联的单标签网络。配置有专用 IP 栈的区域无法使用 all-zones 接口。
缺省情况下,有标签区域共享全局区域的名称服务并具有全局区域的配置文件的只读副本,包括 /etc/passwd 和 /etc/shadow 文件。如果您打算从有标签区域安装应用程序到该区域,并且软件包将用户添加到该区域,您需要在该区域中有这些文件的可写副本。
pkg:/service/network/ftp 等软件包可创建用户帐户。要通过在有标签区域中运行 pkg 命令来安装该软件包,需要在该区域中运行单独的 nscd 守护进程,并需要为区域指定专用 IP 地址。有关更多信息,请参见如何为每个有标签区域配置单独的名称服务。