Protección de sistemas y dispositivos conectados en Oracle® Solaris 11.2

Salir de la Vista de impresión

 
Actualización: Septiembre de 2014
 
 

Políticas para inicio verificado

    Dos políticas gestionan el inicio verificado:

  • La política de inicio regula la verificación de los módulos genunix y UNIX. Estos módulos son los primeros que se van a cargar durante el proceso de inicio.

  • La política del módulo regula la verificación de otros módulos de núcleo que necesitan cargarse después del módulo genunix.

En sistemas SPARC y x86 antiguos, las políticas están definidas en las variables boot_policy y module_policy del archivo /etc/system. En los sistemas SPARC con inicio verificado de Oracle ILOM admitido, boot_policy y module_policy son propiedades de Oracle ILOM en /HOSTx/verified_boot, donde x es el número (PDomain) de dominio físico.

    Ambas variables o propiedades se pueden configurar con uno de los siguientes valores:

  • none: no se realiza verificación de inicio. De manera predeterminada, boot_policy y module_policy no están configuradas y, por lo tanto, el inicio verificado está desactivado.

  • warning: la firma elfsign de cada módulo de núcleo se verifica antes de que se cargue el módulo. Si la verificación falla en un módulo, el módulo aún se carga. Las discrepancias se registran en la consola del sistema o, si está disponible, en el log del sistema. De manera predeterminada, el log es /var/adm/messages.

  • enforce: la firma elfsign de cada módulo de núcleo se verifica antes de que se cargue el módulo. Si la verificación falla en un módulo, el módulo no se carga. Las discrepancias se registran en la consola del sistema o, si está disponible, en el log del sistema. De manera predeterminada, el log es /var/adm/messages.

Además de configurar las políticas, también debe especificar los certificados de clave pública X.509 elfsign en el sistema. Similar a los módulos, especifique los certificados utilizando una variable o definiendo una propiedad de Oracle ILOM.

En sistemas con Oracle ILOM que admiten inicio verificado, un archivo de certificado de inicio verificado preinstalado, /etc/certs/ORCLS11SE, se proporciona como parte de Oracle ILOM. En sistemas SPARC y x86 antiguos, el certificado está disponible como el archivo de Oracle Solaris /etc/certs/ORCLS11SE.

El certificado contiene la clave pública RSA que se utiliza para verificar las firmas elfsign en los objetos ELF. Sin embargo, puede instalar un certificado proporcionado por la compañía para reemplazar /etc/certs/ORCLS11SE. Todos los certificados se cargan y gestionan en cada PDomain individual.

Copyright © 2002, 2014, Oracle y/o sus filiales. Todos los derechos reservados. Advertencia legal
Anterior
Siguiente