Utilisez cette tâche pour activer la fonction sécurisée Verified Boot via la CLI d'Oracle ILOM. Vous pouvez également utiliser l'interface Web d'Oracle ILOM. Reportez-vous à la section Fonction sécurisée Verified Boot (interface Web d'Oracle ILOM).
Verified Boot fait référence à la vérification de modules d'objets avant l'exécution à l'aide de signatures numériques. Oracle Solaris protège contre le chargement de modules de noyau non fiables. Verified Boot accroît la sécurité et la fiabilité d'Oracle Solaris en vérifiant les modules de noyau avant l'exécution.
Si elle est activée, la fonction Verified Boot d'Oracle Solaris vérifie la signature émise en usine figurant dans un module de noyau avant le chargement et l'exécution du module. Cette vérification détecte la modification accidentelle ou malveillante d'un module. L'action effectuée est configurable et, lorsqu'elle est activée, imprime un message d'avertissement et continue le chargement et l'exécution du module, ou échoue sans charger ni exécuter le module.
Voir Connexion à un serveur de calcul et modification du mot de passe par défaut.
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
Un fichier de certificat Verified Boot préinstallé, /etc/certs/ORCLS11SE, est fourni avec Oracle ILOM.
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
Entrez Ctrl-z pour enregistrer et traiter les informations.
Entrez Ctrl-c pour quitter et annuler les modifications.
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
Lorsque vous utilisez Verified Boot, le paramètre OBP use-nvram doit être défini sur false. Cela empêche la modification d'OBP en vue de la désactivation de la fonctionnalité Verified Boot. La valeur par défaut est false. Connectez-vous à Oracle Solaris et saisissez :
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false