시스템의 로컬 파일 시스템 외부에 부트 확인 구성을 저장할 수단이 없는 경우 이 절차를 사용합니다.
이 유형의 시스템에서 부트 확인을 사용으로 설정할 경우 다음 보안 고려 사항을 유의하십시오.
구성 정보는 로컬 파일 시스템에 저장되므로 액세스할 수 있습니다.
권한 있는 사용자는 구성을 수정할 수 있습니다.
정책 설정을 변경할 수 있으며 부트 확인 자체를 사용 안함으로 설정할 수 있습니다.
임의의 elfsign 서명자가 객체 모듈을 서명하도록 허용할 수 있는 추가 키가 추가될 수 있습니다.
예를 들어, /etc/system에서 다음을 입력할 수 있습니다(굵게 표시됨).
* Verified Boot settings: 1=none (default), 2=warning, 3=enforce set boot_policy=2 set module_policy=2
원하는 구성에 해당하는 번호를 각 변수에 지정합니다. 변수에는 다양한 구성이 포함될 수 있습니다. 이러한 정책 구성에 대한 설명은 확인된 부트에 대한 정책을 참조하십시오.
부트 정책이 enforce로 구성되고 UNIX 또는 genunix 모듈의 불일치가 감지된 경우 시스템은 부트하지 않습니다. 대신 시스템은 OBP(OpenBoot PROM)로 복원합니다.
set verified_boot_certs="/etc/certs/THIRDPARTYSE"
THIRDPARTY는 사용자가 제공한 인증서 파일의 이름입니다.
# bootadm update-archive
SPARC 시스템의 경우
# mount -r -F hsfs /platform/sun4v/boot_archive /mnt
x86 시스템의 경우
# mount -r -F hsfs /platform/x86-type/boot_archive /mnt
x86-type은 i86pc 또는 amd64입니다.
# gzcat /mnt/etc/system | egrep ‘verified|policy‘ # ls -l /etc/certs