Utilisez cette procédure si votre système ne peut pas stocker la configuration de la vérification d'initialisation en dehors du système de fichiers local du système.
Lorsque vous activez la vérification d'initialisation sur ce type de système, notez les points suivants :
Les informations de configuration sont stockées dans le système de fichiers local et sont donc accessibles.
Tout utilisateur doté de privilèges peut modifier la configuration.
Vous pouvez modifier les paramètres de stratégie et il est possible de désactiver la vérification d'initialisation elle-même.
Des clés supplémentaires peuvent être ajoutées et autoriser ainsi tout signataire elfsign de signer les modules d'objets.
Par exemple, dans /etc/system, vous pouvez saisir ce qui suit (indiqué en caractères gras) :
* Verified Boot settings: 1=none (default), 2=warning, 3=enforce set boot_policy=2 set module_policy=2
Indiquez le nombre correspondant à la configuration souhaitée pour chaque variable. Les variables peuvent avoir différentes configurations. Pour plus d'informations sur ces configurations de stratégies, reportez-vous à la section Stratégies relatives à Verified Boot.
Si la stratégie d'initialisation est configurée avec enforce et si des écarts sont détectés dans les modules UNIX et genunix, le système ne s'initialise pas. Au lieu de cela, le système revient à OpenBoot PROM (OBP).
set verified_boot_certs="/etc/certs/THIRDPARTYSE"
Où THIRDPARTY est le nom du fichier de certificat fourni par l'utilisateur.
# bootadm update-archive
Pour les systèmes SPARC :
# mount -r -F hsfs /platform/sun4v/boot_archive /mnt
Pour les systèmes x86 :
# mount -r -F hsfs /platform/x86-type/boot_archive /mnt
où x86-type est soit i86pc ou amd64.
# gzcat /mnt/etc/system | egrep ‘verified|policy‘ # ls -l /etc/certs