Oracle ILOM CLI를 통한 보안 확인 부트를 사용으로 설정하려면 이 작업을 수행합니다. 또는 Oracle ILOM 웹 인터페이스를 사용할 수 있습니다. 보안 확인된 부트(Oracle ILOM 웹 인터페이스)를 참조하십시오.
확인된 부트는 디지털 서명을 사용한 실행 전의 객체 모듈 확인을 나타냅니다. Oracle Solaris는 의심스러운 커널 모듈이 로드되지 않도록 보호합니다. 확인된 부트는 실행 전 커널 모듈을 확인해서 Oracle Solaris의 보안 및 강도를 높여줍니다.
사용으로 설정된 경우, Oracle Solaris 확인된 부트는 모듈을 로드 및 실행하기 전에 커널 모듈에서 출하 시 서명을 확인합니다. 이 검사는 특정 모듈의 우연한 또는 악의적인 수정을 감지합니다. 수행되는 작업을 구성할 수 있으며, 사용으로 설정된 경우, 이러한 작업을 통해 경고 메시지를 출력하고, 모듈 로드 및 실행을 계속하거나, 작업이 실패하고 모듈이 로드 및 실행되지 않습니다.
연산 서버에 로그인 및 기본 암호 변경을 참조하십시오.
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
사전 설치된 확인된 부트 인증서 파일 /etc/certs/ORCLS11SE는 Oracle ILOM의 일부로 제공됩니다.
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
Ctrl-z를 입력해서 정보를 저장하고 처리합니다.
종료하고 변경사항을 무시하려면 Ctrl-c를 입력합니다.
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
확인된 부트를 사용할 때, OBP use-nvram 매개변수는 false로 설정되어 있어야 합니다. 이렇게 하면 확인된 부트 기능을 사용 안함으로 설정하기 위해 OBP가 수정되는 것을 방지할 수 있습니다. 기본값은 false입니다. Oracle Solaris에 로그인하고 다음을 입력합니다.
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false