建立不可變的全域區域

语言：

使用不可變特性的防竄改功能，可讓全域區域和非全域區域建立一個具有彈性、高完整性的作業環境，SuperCluster 運算伺服器可以在其中運行其服務。建立在 Oracle Solaris 全域和非全域區域固有的安全功能上，不可變的區域可確保在沒有管理員介入的情況下，就無法變更部分或全部的作業系統目錄和檔案。強制施行此唯讀態勢有助於防止未經授權的變更，提升為更安全的變更管理程序，以及制止核心和使用者形式的惡意軟體入侵。

備註 - 一旦不可變的區域設定後，除非經由「信任的路徑」登入或使用 reboot -- -w 以可寫入模式重新啟動系統，否則將無法加以更新。

您應該一再確認應用程式軟體在不可變的環境中可以如預期般運作，而 Oracle 資料庫執行處理與 Oracle RAC 叢集則已通過驗證，可以在 Oracle Solaris 不可變的非全域區域正確執行。

以超級使用者身分登入 Oracle Solaris 全域區域 (專用網域、根網域或 I/O 網域)。
請參閱登入運算伺服器並變更預設密碼。

設定 file-mac-profile 特性，以修改 Oracle Solaris 全域組態。

# zonecfg -z global set file-mac-profile=fixed-configuration
zonecfg:global> commit

重新啟動 Oracle Solaris 全域區域，使變更生效。從 ILOM 主控台登入網域。

啟動不可變的全域區域信任路徑主控台。
在不可變的全域區域設定後，必須使用下列其中一項中斷序列才能進入主控台登入：
- 圖形主控台 – F1-A
- 序列主控台 – <Break> 或替代的中斷序列 (CR~ Ctrl-b)
```
trusted path console login:
```

登入 I/O 網域的全域區域，並以 root 角色對系統執行任何特定更新，然後將系統重新開機使其回到唯讀模式。
```
# reboot
```