デフォルトでは、zonecfg file-mac-profile プロパティーは非大域ゾーンに設定されません。ゾーンは、書き込み可能なルートデータセットを持つように構成されます。
solaris 読み取り専用ゾーンでは、読み取り専用ゾーンルートを構成するために、file-mac-profile プロパティーが使用されます。読み取り専用ルートは、ゾーン内からの実行時環境へのアクセスを制限します。
zonecfg ユーティリティーを使用すると、file-mac-profile を次のいずれかの値に設定できます。none 以外のすべてのプロファイルでは、/var/pkg ディレクトリとその内容がゾーンの内部から読み取り専用になります。
既存のゾーン境界のほかに追加の保護がない標準の読み取り書き込み非大域ゾーン。値を none に設定することは、file-mac-profile プロパティーを設定しないことと同等になります。
読み取り専用ファイルシステム。例外はありません。
IPS パッケージはインストールできません。
持続的に有効な SMF サービスは固定されます。
SMF マニフェストはデフォルトの場所から追加できません。
構成ファイルのロギングおよび監査は固定されます。データはリモートからのみロギングできます。
このプロファイルで大域不変ゾーンまたは非大域不変ゾーン内での NFS サーバーの実行はサポートされていません。fixed-configuration プロファイルを使用して NFS サーバーを実行する必要があります。
システム構成コンポーネントが含まれているディレクトリを除く、/var/* ディレクトリへの更新を許可します。
IPS パッケージ (新しいパッケージを含む) はインストールできません。
持続的に有効な SMF サービスは固定されます。
SMF マニフェストはデフォルトの場所から追加できません。
構成ファイルのロギングおよび監査はローカルに行うことができます。syslog および監査の構成は固定されます。
/etc/* ディレクトリ内のファイルの変更、ルートのホームディレクトリの変更、および /var/* ディレクトリへの更新を許可します。この構成は、Oracle Solaris 10 のネイティブな疎ルートゾーン (Oracle Solaris の管理: Oracle Solaris コンテナ - リソース管理と Oracle Solaris ゾーンを参照) に近い機能を提供します。これは、このガイドの Oracle Solaris 10 バージョンです。
IPS パッケージ (新しいパッケージを含む) はインストールできません。
持続的に有効な SMF サービスは固定されます。
SMF マニフェストはデフォルトの場所から追加できません。
構成ファイルのロギングおよび監査はローカルに行うことができます。syslog および監査の構成は変更できます。
dynamic-zones 構成は、カーネルゾーンと非大域ゾーンを作成および破棄する機能を提供します。このプロファイルは、大域ゾーン (カーネルゾーンの大域ゾーンを含む) に対して有効です。
dynamic-zones 構成は fixed-configuration と同等ですが、カーネルゾーンと非大域ゾーンを作成および破棄する機能を追加します。dynamic-zones 構成は flexible-configuration と同等ですが、flexible-configuration では /etc 内のファイルへの書き込みも許可されます。
プロファイルを選択してアクティブ化するには、次のコマンドを使用します。この例では、dynamic-zones プロファイルを使用します。
# zonecfg -z global set file-mac-profile=dynamic-zones
add dataset リソースを使用してゾーンに追加されたデータセットは、MWAC ポリシーの対象にはなりません。追加のデータセットを委任されたゾーンは、それらのデータセットを完全に制御できます。プラットフォームのデータセットは表示されますが、ゾーンが読み取り/書き込みでブートされないかぎり、そのデータとプロパティーは読み取り専用です。
add fs リソースを使用してゾーンに追加されたファイルシステムは、MWAC ポリシーの対象にはなりません。ファイルシステムは読み取り専用でマウントできます。