Go to main content

手册页部分 8:系统管理命令

退出打印视图

更新时间: 2018年8月8日 星期三
 
 

labeladm(8)

名称

labeladm - 管理 Trusted Extensions 安全标记服务

用法概要

labeladm
labeladm info
labeladm enable [-n | -fim | -fr] [
-q]
labeladm disable [-n | -fim | -fr] [
-q]
labeladm encodings [<label-encodings-file>]

描述

labeladm 控制 Trusted Extensions 功能提供的标记服务。

缺省子命令为 info,不带任何参数。info 子命令显示标记服务和标记属性的状态相关详细信息。

enabledisable 子命令分别启用和禁用 Trusted Extensions 安全标记服务。这些子命令在更改标记状态之前会先将系统设置为一个合适的状态。启用和禁用操作每次都是以异步方式执行的,且在启用或禁用完成之前返回 labeladm 命令。

下面介绍了缺省启用和禁用行为,不适用于使用 –r(重新引导时应用)选项的情况。所有 smf(7) 里程碑服务都将被临时禁用。请注意,此操作将停止所有运行的区域,停止所有控制台和网络服务并关闭相关连接。此外,仅对于 disable 子命令,所有无法挂载的 zfs 文件系统都会被强制卸载,以确保带标签的数据不再被继续访问。启用或禁用操作本身完成后,将根据需要挂载所有 zfs 文件系统,并重新启用所有里程碑服务。在此过程中将引导区域(有关自动引导详细信息,请参见 zones(7))。基于上述原因,启用或禁用预期需要几分钟的时间。

区域可能会存在于启用或禁用过程中。启用标记后,现有不带标签的区域在首次配置为带标签的区域之前将不可用。请参阅 tncfg(8)。

禁用标记后,带标签的区域将不可用,带标签的区域数据集以及其他带标签的数据集将不可挂载。禁用标记后,任意先前不带标签的区域可重新使用。

缺省情况下,enabledisable 子命令以交互方式运行,需要确认才能执行请求的操作。–f 选项会覆盖此设置以将此命令设置为非交互式。

encodings 子命令会获取或设置有效的标签编码文件。不使用参数时,会显示有效的编码文件名。否则,使用指定的文件设置有效的编码文件。指定的文件使用 chk_encodings(8) 验证。然后,将其复制到系统目录并为其提供一个唯一名称。labeladm info 子命令还显示活动的编码文件名。如果 encodings 子命令从未用于进行有效设置,那么会使用系统缺省编码文件。labeld 服务会自动重新启动以使新设置生效。

启用或禁用 Trusted Extensions 或更改其属性(例如有效的编码文件)只能由具有 solaris.smf.manage.labels 授权的用户或角色来完成。例如,具有 "Information Security"(信息安全)或 "Object Label Management"(对象标签管理)权限配置文件的用户或角色。

选项

支持以下选项:

–f

强制模式-不进行某些检查就执行启用或禁用操作。例如,检查当前状态和正在执行的操作。请谨慎使用此选项。

–i

非交互式模式-不使用此选项时,系统会提示用户确认启用或禁用请求。

–n

仅测试-不进行任何更改。如果检测到任何潜在问题,会返回一个错误值,如果不使用 –q,则还会显示错误消息。

–m

向 syslog 和控制台发送成功完成或错误消息。请注意,对于 labeladm 未以正常方式完成的一些错误,无论是否使用此选项,都会生成一条 syslog 消息。

–q

静默-将不生成命令行消息。如果使用此选项,那么还将使用 –i 选项。

–r

启用或禁用在系统重新引导后才生效。除非进行正常引导处理,否则区域和系统服务不会受影响。

退出状态

将返回以下退出值:

0

成功完成。对于 enabledisable 子命令,操作已成功开始并继续以异步方式执行操作。

1

出现错误。

2

用法无效。

属性

有关下列属性的说明,请参见 attributes(7)

属性类型
属性值
可用性
system/trusted
接口稳定性
调用和子命令为 "Committed"(已确认)。输出为 "Not-an-Interface"(不是接口)。

另请参见

is_system_labeled(3C)labels(7)trusted_extensions(7)chk_encodings(8)labeld(8)tncfg(8)

Trusted Extensions 配置和管理