如何降级多级别数据集中的数据

要降级数据，需要先将文件移动到其目标目录中，然后重新标记该文件。有关说明，请参见Trusted Extensions 配置和管理 中的需要为文件重新设置标签的多级别数据集。

开始之前

您必须获得授权才能对文件进行降级。管理员至少在一个有标签区域中挂载了多级别数据集，且对所有您可以访问的数据集挂载使用了标准名称（例如 /multi），并且已允许在该区域中重新标记。

因此，管理员必须已经完成以下任务：

• Trusted Extensions 配置和管理 中的如何创建和共享多级别数据集

• Trusted Extensions 配置和管理 中的如何在有标签区域中允许重新为文件设置标签

• Trusted Extensions 配置和管理 中的如何允许用户更改数据的安全级别

必须登录到多级别会话。

1. 在源文件标签下创建工作区。

   例如，创建 internal 工作区。

   有关详细信息，请参见如何在最小标签下添加工作区。

2. 打开终端窗口并打开配置文件 shell。

   % pfbash
   $

3. (u53ef选)确认源文件的标签及文件所在目录。

   有关详细信息，请参见如何确定文件标签。

   ---

   注 - 如果源文件位于与其父目录相同的标签下，则无法将其就地降级。必须移动文件。移动文件是一种特权操作。

   ---

4. 将源文件移动到目标标签下的目录中。

   $ mv /multi/internal-directory/file /multi/public-directory

5. 将标签更改为目标目录的标签。

   $ cd /multi/public-directory
   $ setlabel public file

6. (u53ef选)验证文件是否已重新标记。

   $ getlabel /multi/public-directory/file
   /multi/public-directory/file: PUBLIC

   可以在 PUBLIC 标签下编辑文件。

在此示例中，授权用户将重新标记目录。

首先，用户将从目录中移动或删除所有文件。

$ getlabel /multi/conf
/multi/conf: CONFIDENTIAL : NEED TO KNOW
$ mv /multi/conf/* /multi/confNTK/temp

然后，用户设置目录的标签并验证新标签。

$ setlabel "Confidential : Internal Use Only" /multi/conf
getlabel /multi/conf
/multi/conf: "CONFIDENTIAL : INTERNAL USE ONLY"