如何在传统 SPARC 系统和 x86 系统上启用验证的引导

当系统无法在其本地文件系统外存储引导验证配置时，请使用此过程。

在此类系统上启用引导验证时，请注意以下安全注意事项：

• 配置信息存储在本地文件系统，因此它也是可访问的。

• 任何特权用户都能修改该配置。

• 可以更改策略设置，也可以禁用引导验证本身。

• 可添加额外的密钥，因此可能允许任意 elfsign 签名者对对象模块签名。

1. 编辑 /etc/system 文件。
   1. 添加并配置 boot_policy 和 module_policy 变量。

      例如，在 /etc/system 中，您可以键入以下内容（以粗体显示）：

      * Verified Boot settings: 1=none (default), 2=warning, 3=enforce
      set boot_policy=2
      set module_policy=2

      为每个变量指定与您需要的配置对应的数字。这些变量可以有不同的配置。有关这些策略配置的说明，请参见针对验证的引导的策略。

      如果使用 enforce 配置引导策略，并检测到 UNIX 或 genunix 模块中的差异，则系统不会引导。而是，系统重新会恢复到 OpenBoot PROM (OBP)。

   2. 为 verified_boot_certs 变量指定一个或多个 elfsign X.509 密钥证书。

      set verified_boot_certs="/etc/certs/THIRDPARTYSE"

      其中，THIRDPARTY 是用户提供的证书文件的名称。

2. 更新引导归档文件中的 /etc/system 文件。

   # bootadm update-archive

3. (u53ef选) 查看验证的引导配置。
   1. 挂载归档文件。

      • 对于 SPARC 系统：

        # mount -r -F hsfs /platform/sun4v/boot_archive /mnt

      • 对于 x86 系统：

        # mount -r -F hsfs /platform/x86-type/boot_archive /mnt

        其中 x86-type 为 i86pc 或 amd64。

   2. 显示验证的引导配置和 elfsign 密钥。

      # gzcat /mnt/etc/system | egrep ‘verified|policy‘
      # ls -l /etc/certs