Go to main content

Guide de sécurité des serveurs Oracle SuperCluster série M7

Quitter la vue de l'impression

Mis à jour : Février 2016
 
 

Activation de la fonction sécurisée Verified Boot (CLI d'Oracle ILOM)

Utilisez cette tâche pour activer la fonction sécurisée Verified Boot via la CLI d'Oracle ILOM. Vous pouvez également utiliser l'interface Web d'Oracle ILOM. Reportez-vous à la section Fonction sécurisée Verified Boot (interface Web d'Oracle ILOM).

Verified Boot fait référence à la vérification de modules d'objets avant l'exécution à l'aide de signatures numériques. Oracle Solaris protège contre le chargement de modules de noyau non fiables. Verified Boot accroît la sécurité et la fiabilité d'Oracle Solaris en vérifiant les modules de noyau avant l'exécution.

Si elle est activée, la fonction Verified Boot d'Oracle Solaris vérifie la signature émise en usine figurant dans un module de noyau avant le chargement et l'exécution du module. Cette vérification détecte la modification accidentelle ou malveillante d'un module. L'action effectuée est configurable et, lorsqu'elle est activée, imprime un message d'avertissement et continue le chargement et l'exécution du module, ou échoue sans charger ni exécuter le module.

  1. Accédez à Oracle ILOM sur le serveur de calcul.

    Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.

  2. Activez Verified Boot. 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Accédez au certificat Oracle fourni et affichez-le.

    Un fichier de certificat Verified Boot préinstallé, /etc/certs/ORCLS11SE, est fourni avec Oracle ILOM.

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. Lancez le chargement du certificat. 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. Copiez le contenu du fichier /etc/certs/ORCLS11SE et collez-le dans la console Oracle ILOM.

    Entrez Ctrl-z pour enregistrer et traiter les informations.

    Entrez Ctrl-c pour quitter et annuler les modifications.

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. Vérifiez le certificat. 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. Vérifiez que le paramètre OBP use-nvram est défini sur false.

    Lorsque vous utilisez Verified Boot, le paramètre OBP use-nvram doit être défini sur false. Cela empêche la modification d'OBP en vue de la désactivation de la fonctionnalité Verified Boot. La valeur par défaut est false. Connectez-vous à Oracle Solaris et saisissez :

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle et/ou ses affiliés. Tous droits réservés. 
Précédent
Suivant