Go to main content

Oracle SuperCluster M7 シリーズセキュリティーガイド

印刷ビューの終了

更新: 2016 年 2 月
 
 

セキュアなベリファイドブートの有効化 (Oracle ILOM CLI)

Oracle ILOM CLI からセキュアなベリファイドブートを有効にするには、このタスクを使用します。また、Oracle ILOM Web インタフェースを使用することもできます。セキュアなベリファイドブート (Oracle ILOM Web インタフェース)を参照してください。

ベリファイドブートとは、デジタル署名を使用して、実行前にオブジェクトモジュールを検証することです。Oracle Solaris では、不正なカーネルモジュールがロードされないように保護されます。ベリファイドブートでは、実行前にカーネルモジュールが検証されるため、Oracle Solaris の安全性と堅牢性が増加します。

有効にすると、モジュールをロードして実行する前に、Oracle Solaris のベリファイドブートによってカーネルモジュールで出荷時に行われた署名がチェックされます。このチェックでは、モジュールの偶発的な変更や悪意のある変更が検出されます。実行されたアクションは構成可能です。これを有効にすると、警告メッセージが出力され、モジュールのロードおよび実行が続行されるか、または失敗し、モジュールがロードおよび実行されません。

  1. 計算サーバー上の Oracle ILOM にアクセスします。

    計算サーバーへのログインとデフォルトパスワードの変更を参照してください。

  2. ベリファイドブートを有効にします。 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Oracle で提供された証明書にアクセスし、表示します。

    事前にインストールされたベリファイドブートの証明書ファイル /etc/certs/ORCLS11SE は、Oracle ILOM の一部として提供されています。

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. 証明書のロードを開始します。 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. /etc/certs/ORCLS11SE ファイルの内容をコピーし、Oracle ILOM コンソールにペーストします。

    情報を保存して処理するには、Ctrl-Z を押します。

    変更を終了して破棄するには、Ctrl-C を押します。

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. 証明書を検証します。 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. OBP の use-nvram パラメータが false に設定されていることを確認します。

    ベリファイドブートを使用する場合は、OBP の use-nvram パラメータを false に設定する必要があります。このように設定すると、ベリファイドブート機能が無効になるように OBP を変更できなくなります。デフォルト値は false です。Oracle Solaris にログインして、次のように入力します。

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle and/or its affiliates. All rights reserved.  
前へ
次へ