Attenersi alla procedura descritta di seguito per abilitare il boot verificato sicuro tramite l'interfaccia CLI di Oracle ILOM. In alternativa, è possibile usare l'interfaccia Web di Oracle ILOM. Vedere Boot verificato sicuro (interfaccia Web di Oracle ILOM).
Il boot verificato fa riferimento alla verifica dei moduli oggetto che viene effettuata prima dell'esecuzione utilizzando le firme digitali. Oracle Solaris protegge dal caricamento di moduli kernel dannosi. Il boot verificato aumenta la sicurezza e la robustezza di Oracle Solaris verificando i moduli kernel prima dell'esecuzione.
Se abilitato, il boot verificato di Oracle Solaris controlla la firma di fabbrica di un modulo kernel prima di caricare ed eseguire il modulo. Questo controllo consente di rilevare modifiche accidentali o malevoli di un modulo. L'azione intrapresa è configurabile e, quando abilitata, può visualizzare un messaggio di avvertenza e continuare il caricamento e l'esecuzione del modulo oppure non riuscire e arrestare il caricamento e l'esecuzione del modulo.
Vedere Eseguire il login al server di calcolo e modificare la password predefinita.
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
Un file certificato di boot verificato preinstallato, /etc/certs/ORCLS11SE, viene fornito come parte di Oracle ILOM.
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
Immettere Ctrl-z per salvare ed elaborare le informazioni.
Immettere Ctrl-c per uscire e annullare le modifiche.
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
Quando si utilizza il boot verificato, il parametro OBP use-nvram deve essere impostato su false. In questo modo si impedisce che OBP venga modificato per disabilitare la funzionalità del boot verificato. Il valore predefinito è false. Eseguire il login a Oracle Solaris e digitare:
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false