不変大域ゾーンの作成

言語:

不変性を使用して改ざんを防止することで、大域ゾーンおよび非大域ゾーンに回復性と高い整合性を持つオペレーティング環境を作成できます。このような環境内では、SuperCluster 計算サーバー独自のサービスが動作します。不変ゾーンでは、Oracle Solaris の大域ゾーンおよび非大域ゾーンの固有のセキュリティー機能に基づいて、(一部またはすべての) OS ディレクトリおよびファイルを (管理者の介入なしで) 変更できません。このような読み取り専用の状態を適用すると、未承認の変更を回避したり、さらに強力な変更管理の手順を推進したり、カーネルベースとユーザーベースの両方のマルウェアの侵入を抑止したりできます。

注 - 不変ゾーンは一度構成されると、トラステッドパスログインから、または reboot -- -w を使用して書き込み可能モードでシステムをリブートするとき以外は更新できません。

アプリケーションソフトウェアが不変環境で期待どおりに動作していることを常に確認する場合は、Oracle Solaris の不変大域ゾーン内で Oracle Database インスタンスと Oracle RAC クラスタが正常に実行されていることを確認してください。

スーパーユーザーとして Oracle Solaris の大域ゾーン (専用ドメイン、ルートドメイン、または I/O ドメイン) にログインします。
計算サーバーへのログインとデフォルトパスワードの変更を参照してください。

file-mac-profile プロパティーを設定して、Oracle Solaris 大域ゾーンの構成を変更します。
```
# zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit
```

変更を有効にするために、Oracle Solaris 大域ゾーンをリブートします。ILOM コンソールからドメインにログインします。

不変大域ゾーンのトラステッドパスコンソールを起動します。
不変大域ゾーンが構成されたら、次のブレークシーケンスのいずれかを使用してコンソールログインを入力することが重要となります。
- グラフィカルコンソール –F1-A
- シリアルコンソール –<Break> または代替のブレークシーケンス (CR~ Ctrl-b)
```
trusted path console login:
```

I/O ドメインの大域ゾーンにログインし、root の役割になってシステムへの特定の更新を実行します。次に、システムをリブートして読み取り専用モードに戻ります。
```
# reboot
```