Sécurisation des systèmes et des périphériques connectés dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Stratégies relatives à Verified Boot

    Deux stratégies permettent de gérer Verified Boot :

  • La stratégie d'initialisation régit la vérification des modules UNIX et genunix. Ces modules sont les premiers à être chargés durant le processus d'initialisation.

  • La stratégie de module détermine la vérification d'autres modules de noyau qui doivent être chargés après le module genunix.

Sur les systèmes SPARC et x86 hérités, les stratégies sont définies dans les variables boot_policy et module_policy du fichier /etc/system. Sur les systèmes SPARC avec prise en charge de l'initialisation vérifiée Oracle ILOM, boot_policy et module_policy sont des propriétés d'Oracle ILOM dans /HOSTx/verified_boot, où x est le numéro du domaine physique (PDomain).

    Les deux variables ou propriétés peuvent être configurées avec l'une des valeurs suivantes :

  • none : aucune vérification d'initialisation n'est effectuée. Par défaut, boot_policy et module_policy ne n'étant pas configurées, Verified Boot est désactivée.

  • warning : la signature elfsign de chaque module de noyau est vérifiée avant le chargement du module. En cas d'échec de la vérification sur un module, le module est tout de même chargé. Les écarts sont enregistrés dans la console système ou, s'il est disponible, dans le fichier journal du système. Par défaut, le journal est /var/adm/messages.

  • enforce : la signature elfsign de chaque module de noyau est vérifiée avant le chargement du module. En cas d'échec de la vérification sur un module, le module n'est pas chargé. Les écarts sont enregistrés dans la console système ou, s'il est disponible, dans le fichier journal du système. Par défaut, le journal est /var/adm/messages.

En plus de configurer les stratégies, vous pouvez également spécifier les certificats de clés publiques X.509 elfsign sur le système. Comme dans le cas des modules, vous spécifiez les certificats en utilisant une variable ou en définissant une propriété Oracle ILOM.

Sur les systèmes avec Oracle ILOM prenant en charge Verified Boot, un fichier de certificat d'initialisation Verified Boot, /etc/certs/ORCLS11SE, est fourni avec Oracle ILOM. Sur les systèmes SPARC et x86 hérités, le certificat est disponible sous la forme du fichier Oracle Solaris /etc/certs/ORCLS11SE.

Le certificat contient la clé publique RSA servant à vérifier les signatures elfsign dans les objets ELF. Toutefois, vous pouvez installer un certificat fournis par la société pour remplacer /etc/certs/ORCLS11SE. Tous les certificats sont chargés et gérés sur chaque domaine physique individuel.

Copyright © 2002, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant