Configuration des propriétés SPARC Verified Boot
Sur certains systèmes SPARC d'Oracle, la fonctionnalité Verified Boot peut être utilisée pour vérifier que l'initialisation du système bloque les modules de noyau Oracle Solaris avant qu'ils soient chargés sur le système. Utilisez Oracle ILOM pour activer Verified Boot et pour indiquer la manière dont le système doit réagir lorsqu'une vérification échoue. L'activation de Verified Boot peut empêcher l'application de modifications dangereuses sur les blocs d'initialisation du système ou les modules de noyau Oracle Solaris. Pour plus de détails sur la définition de cette stratégie dans Oracle ILOM, consultez la description des propriétés dans le Table 72.
Pour utiliser la fonctionnalité Verified Boot, Oracle Solaris 11.2 (ou version ultérieure) doit être installé sur le système.
Avant de télécharger les certificats pour vérifier les modules de noyau Oracle Solaris, assurez-vous de répondre aux exigences suivantes :
Les certificats sont accessibles via votre réseau ou votre système de fichiers local.
Les certificats sont au format PEM, conformes au standard X.509.
Les certificats ne sont pas chiffrés avec une phrase de passe.
Table 72 Propriétés Verified Boot
|
|
|
|
|
Boot Policy
(boot_policy )
|
Aucun
|
none |warning|enforce
-
none : le système n'effectue pas de vérification sur les blocs d'initialisation, unix, ou geunix.
-
warning : lorsqu'une vérification échoue, un message d'avertissement est consigné sur la console hôte et le processus d'initialisation continue.
-
Lorsqu'une vérification échoue, un message d'erreur est consigné sur la console hôte et le processus d'initialisation est annulé.
Syntaxe de la CLI pour la stratégie d'initialisation :
Serveur hôte unique :
set /Host/verified_boot boot_policy=none|warning|enforce
Serveur hôte multidomaine :
set /Servers/PDomains/PDomain_n/HOST/verified_boot boot_policy=none|warning|enforce
Remarque -
Lorsque la propriété Boot Policy pour Verified Boot est définie sur Enforce et que la variable de configuration Non-volatile RAM pour "use-nvramrc?" est définie sur True, l'opération d'initialisation de Solaris risque d'échouer sur certaines plates-formes SPARC (telles que les serveurs de série SPARC T7 et M7). Pour plus de détails, reportez-vous à la section 3.2.5 Problèmes connus dans le document Mises à jour des fonctions et notes de version d'Oracle ILOM.
|
|
System Certificates
(/system_certs/1)
|
|
Affichez la cible system_certs/1 pour obtenir des détails sur les fichiers de certificat préinstallés, comme l'émetteur et le sujet du fichier.
|
|
User Certificates
(/user_certs/n)
|
|
Chargez jusqu'à cinq fichiers de certificat personnalisés pour vérifier les modules de noyau Solaris autres que unix et geunix. Affichez la cible user_certs/n pour obtenir des détails sur les fichiers de certificat chargés par l'utilisateur, comme l'émetteur et le sujet des fichiers.
Syntaxe de la CLI pour charger le certificat personnalisé lors de l'initialisation :
Serveur hôte unique :
set /Host/verified_boot/user_certs/n load_uri=protocol://certificate_URI
Serveur hôte multidomaine :
set /Servers/PDomains/PDomain_n/Host/verified_boot/user_certs/n load_uri=protocol://certificate_URI
Où n correspond à l'ID à associer au fichier de certificat et protocol représente l'un des protocoles de transfert pris en charge par Oracle ILOM. Pour obtenir la liste des protocoles pris en charge, reportez-vous à la section Supported File Transfer Methods. Syntaxe de la CLI pour supprimer un certificat personnalisé Verified Boot :
Serveur hôte unique :
reset /Host/Verified_boot/user_certs/n
Serveur hôte multidomaine :
reset /Servers/PDomains/PDomain_n/Host/verified_boot/user_certs/n Où n correspond à l'ID du fichier de certificat à supprimer.
|
|