当系统无法在其本地文件系统外存储引导验证配置时,请使用此过程。
在此类系统上启用引导验证时,请注意以下安全注意事项:
配置信息存储在本地文件系统,因此它也是可访问的。
任何特权用户都能修改该配置。
可以更改策略设置,也可以禁用引导验证本身。
可添加额外的密钥,因此可能允许任意 elfsign 签名者对对象模块签名。
例如,在 /etc/system 中,您可以键入以下内容(以粗体显示):
* Verified Boot settings: 1=none (default), 2=warning, 3=enforce set boot_policy=2 set module_policy=2
为每个变量指定与您需要的配置对应的数字。这些变量可以有不同的配置。有关这些策略配置的说明,请参见针对验证的引导的策略。
如果使用 enforce 配置引导策略,并检测到 UNIX 或 genunix 模块中的差异,则系统不会引导。而是,系统重新会恢复到 OpenBoot PROM (OBP)。
set verified_boot_certs="/etc/certs/THIRDPARTYSE"
其中,THIRDPARTY 是用户提供的证书文件的名称。
# bootadm update-archive
对于 SPARC 系统:
# mount -r -F hsfs /platform/sun4v/boot_archive /mnt
对于 x86 系统:
# mount -r -F hsfs /platform/x86-type/boot_archive /mnt
其中 x86-type 为 i86pc 或 amd64。
# gzcat /mnt/etc/system | egrep ‘verified|policy‘ # ls -l /etc/certs