不必为 label_encodings 文件中的每个标签创建一个区域,但可以这样做。管理 GUI 会枚举可在此系统上为其创建区域的标签。在此过程中,您将创建两个有标签区域。如果使用 Trusted Extensions label_encodings 文件,则创建缺省 Trusted Extensions 配置。
开始之前
您已完成登录到 Trusted Extensions。您已承担 root 角色。
您尚未创建区域。
# txzonemgr &
该脚本将打开 "Labeled Zone Manager"(有标签区域管理器)对话框。此 zenity 对话框会提示您执行相应的任务,具体取决于配置的当前状态。
要执行某项任务,请选择相应菜单项,然后按回车键或单击 "OK"(确定)。在提示您输入文本时,键入文本,然后按回车键或单击 "OK"(确定)。
第一个有标签区域基于 label_encodings 文件中的 Default User Sensitivity Label(缺省用户敏感标签)值。
第二个有标签区域基于 label_encodings 文件中的 Default User Clearance(缺省用户安全许可)值。
如果 public(公共)区域使用专用 IP 栈,或者该区域具有在 DNS 中定义的 IP 地址,请使用在 DNS 中定义的主机名。否则,使用系统的名称。
root 口令在系统安装时进行了设置。此提示的输入将失败。
然后,运行 svcs -x 命令以检验是否是否配置了所有的服务。如果未显示任何消息,则说明已配置所有的服务。
出现提示时,键入 "exit",然后从 "Zone Console"(区域控制台)选择 "Close"(关闭)窗口。
在另一个窗口中,第二个区域安装已完成。该区域是基于快照构建的,因此构建速度很快。
# svcs -x #
如果未显示任何消息,则说明已配置所有的服务。将显示 "Labeled Zone Manager"(有标签区域管理器)。
选择 "Reboot"(重新引导),然后单击 "Cancel"(取消)按钮返回到主屏幕。所有区域都正在运行。无标签快照未在运行。
按提示执行操作。GUI 将引导您完成区域创建过程。
创建和引导区域后,可返回到全局区域以创建更多区域。这些区域都是基于快照创建的。
在此示例中,管理员通过缺省 label_encodings 文件创建受限区域。
首先,管理员以交互式模式打开 txzonemgr 脚本。
# txzonemgr &
接着,管理员导航到全局区域,并创建名为 restricted(受限)的区域。
Create a new zone:restricted
然后,管理员应用正确的标签。
Select label:CNF : RESTRICTED
管理员从列表中选择 "Clone"(克隆)选项,随后选择 snapshot(快照)作为新区域的模板。
restricted(受限)区域可用后,管理员单击 "Boot"(引导)来引导第二个区域。
要能够访问 restricted(受限)区域,管理员将 label_encodings 文件中的 Default User Clearance(缺省用户安全许可)值更改为 CNF RESTRICTED(CNF 受限)。