在 Solaris 非全局区域 (又称 Solaris Zone) 中设置 BART

在 Solaris 非全局区域 (又称 Solaris Zone) 中设置 BART

所以我的问题是关于在 Solaris 非全局区域内运行 BART(Solaris 基本审计报告工具)。我对这个问题感到困惑,因为我读过很多相互矛盾的观点,手册页是这样说的:

任何非全局区域的根文件系统都不能使用 -R 选项引用。这样做可能会损坏全局区域的文件系统,可能会危及全局区域的安全性,也可能损坏非全局区域的文件系统

因此,在研究了这个问题之后,我看到了很多似乎反复的答案。有人说要在全局区域中运行它,有人说要登录到非全局区域并在那里运行它。

所以我的问题是,我有一堆 Solaris 非全局区域,我想让 BART 检查。 ssh 或 zlogin 到非全局区域并运行 BART 可以吗? 让 BART 检查我的非全局区域的“/”(又名根)目录及以上内容的最安全方法是什么?

答案1

因此,在对此进行更多研究并进行一些测试后,我得出结论,在非全局区域内运行 BART 等工具是可以的。但是,不应从全局区域运行 BART 等工具来访问非全局区域。这主要会给恶意的非全局管理员带来潜在的安全风险,他们可以将 /zones//etc/passwd 指向全局上的 /etc/passwd。

所以简而言之,只要您在非全局区域内运行 BART 就没问题,只是不要让它在全局区域上运行并访问非全局区域。

相关内容