labeladm - 管理 Trusted Extensions 安全标记服务
labeladm
labeladm info
labeladm enable [-n | -fim | -fr] [ -q]
labeladm disable [-n | -fim | -fr] [ -q]
labeladm encodings [<label-encodings-file>]
labeladm 控制 Trusted Extensions 功能提供的标记服务。
缺省子命令为 info,不带任何参数。info 子命令显示标记服务和标记属性的状态相关详细信息。
enable 和 disable 子命令分别启用和禁用 Trusted Extensions 安全标记服务。这些子命令在更改标记状态之前会先将系统设置为一个合适的状态。启用和禁用操作每次都是以异步方式执行的,且在启用或禁用完成之前返回 labeladm 命令。
下面介绍了缺省启用和禁用行为,不适用于使用 –r(重新引导时应用)选项的情况。所有 smf(7) 里程碑服务都将被临时禁用。请注意,此操作将停止所有运行的区域,停止所有控制台和网络服务并关闭相关连接。此外,仅对于 disable 子命令,所有无法挂载的 zfs 文件系统都会被强制卸载,以确保带标签的数据不再被继续访问。启用或禁用操作本身完成后,将根据需要挂载所有 zfs 文件系统,并重新启用所有里程碑服务。在此过程中将引导区域(有关自动引导详细信息,请参见 zones(7))。基于上述原因,启用或禁用预期需要几分钟的时间。
区域可能会存在于启用或禁用过程中。启用标记后,现有不带标签的区域在首次配置为带标签的区域之前将不可用。请参阅 tncfg(8)。
禁用标记后,带标签的区域将不可用,带标签的区域数据集以及其他带标签的数据集将不可挂载。禁用标记后,任意先前不带标签的区域可重新使用。
缺省情况下,enable 和 disable 子命令以交互方式运行,需要确认才能执行请求的操作。–f 选项会覆盖此设置以将此命令设置为非交互式。
encodings 子命令会获取或设置有效的标签编码文件。不使用参数时,会显示有效的编码文件名。否则,使用指定的文件设置有效的编码文件。指定的文件使用 chk_encodings(8) 验证。然后,将其复制到系统目录并为其提供一个唯一名称。labeladm info 子命令还显示活动的编码文件名。如果 encodings 子命令从未用于进行有效设置,那么会使用系统缺省编码文件。labeld 服务会自动重新启动以使新设置生效。
启用或禁用 Trusted Extensions 或更改其属性(例如有效的编码文件)只能由具有 solaris.smf.manage.labels 授权的用户或角色来完成。例如,具有 "Information Security"(信息安全)或 "Object Label Management"(对象标签管理)权限配置文件的用户或角色。
支持以下选项:
强制模式-不进行某些检查就执行启用或禁用操作。例如,检查当前状态和正在执行的操作。请谨慎使用此选项。
非交互式模式-不使用此选项时,系统会提示用户确认启用或禁用请求。
仅测试-不进行任何更改。如果检测到任何潜在问题,会返回一个错误值,如果不使用 –q,则还会显示错误消息。
向 syslog 和控制台发送成功完成或错误消息。请注意,对于 labeladm 未以正常方式完成的一些错误,无论是否使用此选项,都会生成一条 syslog 消息。
静默-将不生成命令行消息。如果使用此选项,那么还将使用 –i 选项。
启用或禁用在系统重新引导后才生效。除非进行正常引导处理,否则区域和系统服务不会受影响。
将返回以下退出值:
成功完成。对于 enable 和 disable 子命令,操作已成功开始并继续以异步方式执行操作。
出现错误。
用法无效。
有关下列属性的说明,请参见 attributes(7):
|
is_system_labeled(3C)、labels(7)、trusted_extensions(7)、chk_encodings(8)、labeld(8)、tncfg(8)