不変ゾーンはシステムのファイルの整合性を保証します。ゾーンのポリシーは、変更可能なファイルを指定します。システムのファイルを変更するには、管理者は Trusted Path Domain (TPD) に入ることが許可されている必要があります。 では、柔軟性と普遍性のトレードオフを提供する、不変ゾーン用のいくつかのポリシーが用意されています。mwac(7) のマニュアルページでは、ゾーンを不変にするために適用できるポリシーが説明されており、tpd(7) のマニュアルページでは Trusted Path Domain について説明されています。
Creating and Using Oracle Solaris Zones の 第 12 章, Configuring and Administering Immutable Zonesでは、不変ゾーンを構成および管理する方法が説明されています。
不変ゾーンを管理するときは 2 つのオプションがあります。
大域ゾーンの端末ウィンドウにアクセスできる場合、ゾーンを可変に変更し、管理したあとでゾーンを不変に戻します。
このオプションでは TPD は使用されません。一時的に可変にすることによって不変ゾーンを管理する方法については、Creating and Using Oracle Solaris Zones の Administering Immutable Non-Global Zonesを参照してください。
コンソールまたは RAD インタフェースにアクセスできる場合、ゾーンを不変のままにしてもよく、Trusted Path Domain (TPD) に認証してゾーンに入り、ゾーンを管理してから TPD を終了します。
セキュリティーの高いこのオプションでは、ゾーン管理者が TPD に入る権利を持っている必要があります。RAD アクセスの場合、RAD プロセスが信頼できるパスで実行されていることが必要です。Creating and Using Oracle Solaris Zones の Administering an Immutable Zone by Using the Trusted Path Domainを参照してください。
これらの方法のためのステップは、次の各セクションで説明します。
可変ゾーン管理 – zlogin -T または zoneadm コマンドの使用については、Creating and Using Oracle Solaris Zones の Administering an Immutable Zone by Making It Writableを参照してください。
物理または仮想コンソールエントリ – Creating and Using Oracle Solaris Zones の How to Enable Administrative Access to an Immutable Zone From the Consoleを参照してください。
リモート RAD エントリ – Creating and Using Oracle Solaris Zones の How to Enable Remote Administrative Access to an Immutable Zone by Using RADを参照してください。