ベリファイドブートは、次の 2 つのポリシーで管理されます。
UNIX および genunix モジュールの検証は、ブートポリシーで規定されます。ブートプロセス時に、これらのモジュールが最初にロードされます。
genunix のあとにロードする必要があるその他のカーネルモジュールの検証は、モジュールポリシーで規定されます。
レガシー SPARC システムおよび x86 システムでは、ポリシーは /etc/system ファイルの boot_policy および module_policy 変数で定義されます。Oracle ILOM のベリファイドブートがサポートされている SPARC システムでは、Oracle ILOM の boot_policy および module_policy プロパティーは /HOSTx/verified_boot にあります。ここで、x は物理ドメイン (PDomain) 番号です。
変数またはプロパティーは両方とも、次の値のいずれかを使用して構成できます。
none - ブート検証が実行されません。デフォルトでは、boot_policy と module_policy が両方とも構成されていないため、ベリファイドブートは無効になっています。
warning - モジュールがロードされる前に、各カーネルモジュールの elfsign 署名が検証されます。モジュールの検証に失敗した場合でも、モジュールはロードされます。不一致は、システムコンソールまたはシステムログ (使用可能な場合) に記録されます。デフォルトのログは /var/adm/messages です。
enforce - モジュールがロードされる前に、各カーネルモジュールの elfsign 署名が検証されます。モジュールの検証に失敗した場合は、モジュールがロードされません。不一致は、システムコンソールまたはシステムログ (使用可能な場合) に記録されます。デフォルトのログは /var/adm/messages です。
ポリシーを構成することに加えて、システムで elfsign X.509 公開鍵証明書を指定することもできます。モジュールと同様に、変数を使用するか、Oracle ILOM プロパティーを定義することで証明書を指定します。
ベリファイドブートがサポートされている Oracle ILOM が組み込まれたシステムでは、事前にインストールされたベリファイドブートの証明書ファイル /etc/certs/ORCLS11SE が Oracle ILOM の一部として提供されています。レガシー SPARC システムおよび x86 システムでは、証明書は Oracle Solaris の /etc/certs/ORCLS11SE ファイルとして使用できます。
証明書には、ELF オブジェクトの elfsign 署名を検証する際に使用される RSA 公開鍵が含まれています。ただし、企業で提供された証明書をインストールして /etc/certs/ORCLS11SE を置き換えることもできます。すべての証明書は個別の PDomain にロードされ、管理されます。