この手順は、システムのローカルファイルシステム外部にブート検証の構成を格納する方法がシステムに備わっていない場合に使用します。
このタイプのシステムでブート検証を有効にする際は、次のセキュリティーの考慮事項に注意してください。
構成情報はローカルファイルシステムに格納されるため、アクセス可能です。
任意の特権ユーザーが構成を変更できます。
ポリシーの設定を変更でき、ブート検証自体を無効にできます。
任意の elfsign 署名者がオブジェクトモジュールを署名できる可能性のある追加の鍵を追加できます。
たとえば、/etc/system では、次のように入力します (太字で表示)。
* Verified Boot settings: 1=none (default), 2=warning, 3=enforce set boot_policy=2 set module_policy=2
変数ごとに行う構成に対応する番号を指定します。変数には異なる構成を指定できます。これらのポリシーの構成については、ベリファイドブートのポリシーを参照してください。
ブートポリシーが enforce を使用して構成されている場合に、UNIX または genunix モジュールで不一致が検出されると、システムがブートしません。その代わりに、システムは OpenBoot PROM (OBP) に戻ります。
set verified_boot_certs="/etc/certs/THIRDPARTYSE"
ここで、THIRDPARTY はユーザーが指定した証明書ファイルの名前です。
# bootadm update-archive
SPARC システムの場合:
# mount -r -F hsfs /platform/sun4v/boot_archive /mnt
x86 システムの場合:
# mount -r -F hsfs /platform/x86-type/boot_archive /mnt
ここで、x86-type は i86pc または amd64 です。
# gzcat /mnt/etc/system | egrep ‘verified|policy‘ # ls -l /etc/certs