Oracle ILOM CLI からセキュアなベリファイドブートを有効にするには、このタスクを使用します。また、Oracle ILOM Web インタフェースを使用することもできます。セキュアなベリファイドブート (Oracle ILOM Web インタフェース)を参照してください。
ベリファイドブートとは、デジタル署名を使用して、実行前にオブジェクトモジュールを検証することです。Oracle Solaris では、不正なカーネルモジュールがロードされないように保護されます。ベリファイドブートでは、実行前にカーネルモジュールが検証されるため、Oracle Solaris の安全性と堅牢性が増加します。
有効にすると、モジュールをロードして実行する前に、Oracle Solaris のベリファイドブートによってカーネルモジュールで出荷時に行われた署名がチェックされます。このチェックでは、モジュールの偶発的な変更や悪意のある変更が検出されます。実行されたアクションは構成可能です。これを有効にすると、警告メッセージが出力され、モジュールのロードおよび実行が続行されるか、または失敗し、モジュールがロードおよび実行されません。
計算サーバーへのログインとデフォルトパスワードの変更を参照してください。
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
事前にインストールされたベリファイドブートの証明書ファイル /etc/certs/ORCLS11SE は、Oracle ILOM の一部として提供されています。
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
情報を保存して処理するには、Ctrl-Z を押します。
変更を終了して破棄するには、Ctrl-C を押します。
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
ベリファイドブートを使用する場合は、OBP の use-nvram パラメータを false に設定する必要があります。このように設定すると、ベリファイドブート機能が無効になるように OBP を変更できなくなります。デフォルト値は false です。Oracle Solaris にログインして、次のように入力します。
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false