Go to main content

Guía de seguridad de Oracle SuperCluster serie M7

Salir de la Vista de impresión

Actualización: Febrero de 2016
 
 

Activación del inicio verificado seguro (CLI de Oracle ILOM)

Use esta tarea para activar el inicio verificado seguro mediante la CLI de Oracle ILOM. De manera alternativa, puede usar la interfaz web de Oracle ILOM. Consulte Inicio verificado seguro (interfaz web de Oracle ILOM).

El inicio verificado consulta la verificación de los módulos de objeto antes de la ejecución mediante firmas digitales. Oracle Solaris protege contra la carga de módulos de núcleo peligrosos. El inicio verificado aumenta la seguridad y la solidez de Oracle Solaris mediante la verificación de los módulos del núcleo antes de la ejecución.

Si está activado, el inicio verificado de Oracle Solaris comprueba la firma de fábrica en un módulo de núcleo antes de cargar y ejecutar el módulo. Esta comprobación detecta la modificación accidental o malintencionada de un módulo. La acción realizada se puede configurar y, si está activada, imprimirá un mensaje de advertencia y continuará cargando y ejecutando el módulo, o fallará y no cargará ni ejecutará el módulo.

  1. Acceda a Oracle ILOM en el servidor de cálculo.

    Consulte Inicio de sesión en un servidor de cálculo y cambio de la contraseña por defecto.

  2. Active el inicio verificado. 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Acceda al certificado proporcionado por Oracle y visualícelo.

    Se proporciona un archivo de certificado de inicio verificado preinstalado, /etc/certs/ORCLS11SE, como parte de Oracle ILOM.

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. Inicie la carga del certificado. 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. Copie el contenido del archivo /etc/certs/ORCLS11SE y péguelo en la consola de Oracle ILOM.

    Introduzca Ctrl-z para guardar y procesar la información.

    Introduzca Ctrl-c para salir y desechar los cambios.

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. Verifique el certificado. 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. Verifique que el parámetro use-nvram de OBP esté configurado en false.

    Cuando usa el inicio verificado, el parámetro use-nvram de OBP debe estar configurado en false. Esto evita que se modifique OBP para desactivar la funcionalidad de inicio verificado. El valor por defecto es false. Inicie sesión en Oracle Solaris y escriba:

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle y/o sus filiales. Todos los derechos reservados. 
Anterior
Siguiente