执行本任务以通过 Oracle ILOM CLI 启用安全验证的引导。或者,您也可以使用 Oracle ILOM Web 界面。请参见安全验证的引导(Oracle ILOM Web 界面)。
验证的引导是指使用数字签名在执行之前验证对象模块。Oracle Solaris 阻止装入行为异常的内核模块。验证的引导可以在执行之前验证内核模块,从而增强 Oracle Solaris 的安全性和稳健性。
启用后,Oracle Solaris 验证的引导将在装入并执行内核模块之前检查模块中出厂时签署的签名。这项检查可检测对模块的意外或恶意修改。执行的操作是可配置的,启用后,要么输出一条警告消息,继续装入并执行模块,要么操作失败,不会装入并执行模块。
请参见登录到计算服务器并更改默认密码。
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
预安装的验证的引导证书文件 /etc/certs/ORCLS11SE 作为 Oracle ILOM 的一部分提供。
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
输入 Ctrl-z 保存并处理信息。
输入 Ctrl-c 退出并放弃更改。
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
使用验证的引导时,OBP use-nvram 参数必须设置为 false。这样可防止修改 OBP 以禁用验证的引导功能。默认值为 false。登录到 Oracle Solaris 并键入:
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false