Go to main content

Guida per la sicurezza di Oracle SuperCluster M7 Series

Uscire dalla vista stampa

Aggiornato: Febbraio 2016
 
 

Abilitare il boot verificato sicuro (interfaccia CLI di Oracle ILOM)

Attenersi alla procedura descritta di seguito per abilitare il boot verificato sicuro tramite l'interfaccia CLI di Oracle ILOM. In alternativa, è possibile usare l'interfaccia Web di Oracle ILOM. Vedere Boot verificato sicuro (interfaccia Web di Oracle ILOM).

Il boot verificato fa riferimento alla verifica dei moduli oggetto che viene effettuata prima dell'esecuzione utilizzando le firme digitali. Oracle Solaris protegge dal caricamento di moduli kernel dannosi. Il boot verificato aumenta la sicurezza e la robustezza di Oracle Solaris verificando i moduli kernel prima dell'esecuzione.

Se abilitato, il boot verificato di Oracle Solaris controlla la firma di fabbrica di un modulo kernel prima di caricare ed eseguire il modulo. Questo controllo consente di rilevare modifiche accidentali o malevoli di un modulo. L'azione intrapresa è configurabile e, quando abilitata, può visualizzare un messaggio di avvertenza e continuare il caricamento e l'esecuzione del modulo oppure non riuscire e arrestare il caricamento e l'esecuzione del modulo.

  1. Accedere a Oracle ILOM sul server di calcolo.

    Vedere Eseguire il login al server di calcolo e modificare la password predefinita.

  2. Abilitare il boot verificato. 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Accedere al certificato fornito da Oracle e visualizzarlo.

    Un file certificato di boot verificato preinstallato, /etc/certs/ORCLS11SE, viene fornito come parte di Oracle ILOM.

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. Avviare il caricamento del certificato. 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. Copiare il contenuto del file /etc/certs/ORCLS11SE e incollarlo nella console di Oracle ILOM.

    Immettere Ctrl-z per salvare ed elaborare le informazioni.

    Immettere Ctrl-c per uscire e annullare le modifiche.

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. Verificare il certificato. 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. Verificare che il parametro OBP use-nvram sia impostato su false.

    Quando si utilizza il boot verificato, il parametro OBP use-nvram deve essere impostato su false. In questo modo si impedisce che OBP venga modificato per disabilitare la funzionalità del boot verificato. Il valore predefinito è false. Eseguire il login a Oracle Solaris e digitare:

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle e/o relative consociate. Tutti i diritti riservati. 
Precedente
Successivo