Go to main content

Oracle SuperCluster M7 시리즈 보안 설명서

인쇄 보기 종료

업데이트 날짜: 2016년 2월
 
 

보안 확인 부트 사용으로 설정(Oracle ILOM CLI)

Oracle ILOM CLI를 통한 보안 확인 부트를 사용으로 설정하려면 이 작업을 수행합니다. 또는 Oracle ILOM 웹 인터페이스를 사용할 수 있습니다. 보안 확인된 부트(Oracle ILOM 웹 인터페이스)를 참조하십시오.

확인된 부트는 디지털 서명을 사용한 실행 전의 객체 모듈 확인을 나타냅니다. Oracle Solaris는 의심스러운 커널 모듈이 로드되지 않도록 보호합니다. 확인된 부트는 실행 전 커널 모듈을 확인해서 Oracle Solaris의 보안 및 강도를 높여줍니다.

사용으로 설정된 경우, Oracle Solaris 확인된 부트는 모듈을 로드 및 실행하기 전에 커널 모듈에서 출하 시 서명을 확인합니다. 이 검사는 특정 모듈의 우연한 또는 악의적인 수정을 감지합니다. 수행되는 작업을 구성할 수 있으며, 사용으로 설정된 경우, 이러한 작업을 통해 경고 메시지를 출력하고, 모듈 로드 및 실행을 계속하거나, 작업이 실패하고 모듈이 로드 및 실행되지 않습니다.

  1. 연산 서버에서 Oracle ILOM에 액세스합니다.

    연산 서버에 로그인 및 기본 암호 변경을 참조하십시오.

  2. 확인된 부트를 사용으로 설정합니다. 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Oracle 제공 인증서를 액세스 및 표시합니다.

    사전 설치된 확인된 부트 인증서 파일 /etc/certs/ORCLS11SE는 Oracle ILOM의 일부로 제공됩니다.

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. 인증서 로드를 시작합니다. 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. /etc/certs/ORCLS11SE 파일 내용을 복사해서 Oracle ILOM 콘솔에 붙여넣습니다.

    Ctrl-z를 입력해서 정보를 저장하고 처리합니다.

    종료하고 변경사항을 무시하려면 Ctrl-c를 입력합니다.

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. 인증서를 확인합니다. 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. OBP use-nvram 매개변수가 false로 설정되었는지 확인합니다.

    확인된 부트를 사용할 때, OBP use-nvram 매개변수는 false로 설정되어 있어야 합니다. 이렇게 하면 확인된 부트 기능을 사용 안함으로 설정하기 위해 OBP가 수정되는 것을 방지할 수 있습니다. 기본값은 false입니다. Oracle Solaris에 로그인하고 다음을 입력합니다.

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. 
이전
다음