创建不可变全局区域

语言：

利用不变性防篡改可使全局区域和非全局区域创建高完整性弹性操作环境，SuperCluster 计算服务器可以在此环境中运行自己的服务。不可变区域基于 Oracle Solaris 全局区域和非全局区域固有的安全功能构建，可确保无法更改（部分或全部）OS 目录和文件（在没有管理员介入的情况下）。强制实施这种只读环境有助于防止未经授权的更改、促进更强大的变更管理过程，并阻止基于内核和用户的恶意软件的注入。

注 - 配置不可变区域后，除了通过可信路径登录或使用 reboot -- -w 在重新引导系统时利用可写模式以外，不能对该区域进行更新。

尽管始终都应该确认应用程序软件在不可变环境中按预期运行，但要知道，经验证，Oracle Database 实例和 Oracle RAC 群集可以在 Oracle Solaris 不可变非全局区域中正常运行。

以超级用户身份登录到 Oracle Solaris 全局区域（专用域、根域或 I/O 域）。
请参见登录到计算服务器并更改默认密码。

通过设置 file-mac-profile 属性来修改 Oracle Solaris 全局区域配置。

# zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit

重新引导 Oracle Solaris 全局区域以使更改生效。通过 ILOM 控制台登录到域。

启动不可变全局区域可信路径控制台。
配置不可变全局区域时，务必使用以下中断序列之一进入控制台登录：
- 图形控制台－F1-A
- 串行控制台－<Break> 或替代中断序列 (CR~ Ctrl-b)
```
trusted path console login:
```

登录到 I/O 域的全局区域，承担 root 角色以对系统执行任何特定更新，然后重新引导系统使其返回只读模式。
```
# reboot
```