다음 두 정책이 확인된 부트를 관리합니다.
부트 정책이 UNIX 및 genunix 모듈의 확인을 조정합니다. 이러한 모듈은 부트 프로세스 중 첫번째로 로드됩니다.
모듈 정책이 genunix 모듈 이후 로드할 기타 커널 모듈 확인을 조정합니다.
기존 SPARC 시스템 및 x86 시스템에서 해당 정책은 /etc/system 파일의 boot_policy 및 module_policy 변수에 정의됩니다. Oracle ILOM 확인된 부트 지원이 있는 SPARC 시스템에서 boot_policy 및 module_policy는 x가 물리적 도메인(PDomain) 번호인 /HOSTx/verified_boot에서 Oracle ILOM의 등록 정보입니다.
변수 또는 등록 정보 모두 다음 값 중 하나 이상으로 구성될 수 있습니다.
none - 부트 확인이 수행되지 않습니다. 기본적으로 boot_policy 및 module_policy 모두 구성되지 않으므로 확인된 부트가 사용 안함으로 설정됩니다.
warning - 모듈이 로드되기 전에 각 커널 모듈의 elfsign 서명이 확인됩니다. 모듈에서 확인을 실패할 경우 해당 모듈은 계속 로드됩니다. 이러한 불일치는 시스템 콘솔에 기록되거나 가능한 경우 시스템 로그에 기록됩니다. 기본적으로 해당 로그는 /var/adm/messages입니다.
enforce - 모듈이 로드되기 전에 각 커널 모듈의 elfsign 서명이 확인됩니다. 모듈에서 확인을 실패할 경우 해당 모듈은 로드되지 않습니다. 이러한 불일치는 시스템 콘솔에 기록되거나 가능한 경우 시스템 로그에 기록됩니다. 기본적으로 해당 로그는 /var/adm/messages입니다.
정책 구성 이외에 시스템에서 elfsign X.509 공개 키 인증서를 지정할 수도 있습니다. 모듈과 유사하게 변수를 사용하거나 Oracle ILOM 등록 정보를 정의하여 인증서를 지정합니다.
확인된 부트를 지원하는 Oracle ILOM이 있는 시스템에서 사전 설치된 확인된 부트 인증서 파일(/etc/certs/ORCLS11SE)은 Oracle ILOM의 일부로 제공됩니다. 기존 SPARC 시스템 및 x86 시스템에서 인증서는 Oracle Solaris 파일 /etc/certs/ORCLS11SE로 사용할 수 있습니다.
해당 인증서에는 ELF 객체에서 elfsign 서명을 확인하는 데 사용되는 RSA 공개 키가 포함되어 있습니다. 그러나 회사가 제공한 인증서를 설치하여 /etc/certs/ORCLS11SE를 대체할 수 있습니다. 모든 인증서는 각 개별 PDomain에서 로드되고 관리됩니다.