Security
在 Solaris 非全域區域(也稱為 Solaris 區域)中設置 BART
所以我的問題是關於在 Solaris 非全域區域內執行 BART(Solaris 基本審計報告工具)。由於我一直在閱讀很多相互矛盾的觀點,我對這個主題感到困惑,手冊頁說:
不得使用 -R 選項引用任何非全域區域的根文件系統。這樣做可能會損壞全域區域的文件系統,可能會危及全域區域的安全性,並可能損壞非全域區域的文件系統
因此,在研究了這個主題之後,我看到了很多似乎來回走動的答案。有人說在全域區域執行它,有人說zlogin到非全域區域並在那裡執行。
所以我的問題是,我有一堆 Solaris 非全域區域需要 BART 檢查。可以 ssh 或 zlogin 到非全域區域並執行 BART 嗎?讓 BART 檢查“/”(又名根)目錄和我的非全域區域的最安全方法是什麼?
因此,在對此進行了更多研究並進行了一些測試之後,我得出的結論是,在非全域區域內執行 BART 之類的工具是可以的。但是,不應從全域區域執行 BART 等工具來訪問非全域區域。大多數情況下,這會給惡意的非全域管理員帶來可能的安全風險,這些管理員可以將 /zones//etc/passwd 指向全域上的 /etc/passwd。
所以簡而言之,只要你在非全域區域內執行 BART 就可以了,只是不要讓它在全域區域上執行並訪問非全域區域。