Utilice este procedimiento si el sistema no tiene los medios para almacenar la configuración de verificación de inicio fuera del sistema de archivos local del sistema.
Al activar la verificación de inicio en este tipo de sistema, tenga en cuenta las siguientes consideraciones de seguridad:
La información de configuración se almacena en el sistema de archivos local y, por lo tanto, es accesible.
Cualquier usuario con privilegios puede modificar la configuración.
La configuración de política se puede cambiar, y la verificación de inicio en sí se puede desactivar.
Se pueden agregar claves extra que posiblemente permitan que cualquier firmante elfsign firme módulos de objeto.
Por ejemplo, en /etc/system, puede escribir lo siguiente (se muestra en negrita):
* Verified Boot settings: 1=none (default), 2=warning, 3=enforce set boot_policy=2 set module_policy=2
Especifique el número que corresponde a la configuración que desea para cada variable. Las variables pueden tener diferentes configuraciones. Para obtener una explicación de estas configuraciones de políticas, consulte Políticas para inicio verificado.
Si la política de inicio está configurada con enforce y se detectan discrepancias en los módulos genunix o UNIX, el sistema no se inicia. En su lugar, el sistema vuelve a OpenBoot PROM (OBP).
set verified_boot_certs="/etc/certs/THIRDPARTYSE"
donde THIRDPARTY es el nombre del archivo de certificado proporcionado por el usuario.
# bootadm update-archive
Para sistemas SPARC:
# mount -r -F hsfs /platform/sun4v/boot_archive /mnt
Para sistemas x86:
# mount -r -F hsfs /platform/x86-type/boot_archive /mnt
donde x86-type es i86pc o amd64.
# gzcat /mnt/etc/system | egrep ‘verified|policy‘ # ls -l /etc/certs