Go to main content

Guia de Segurança do Oracle SuperCluster Série M7

Sair da Exibição de Impressão

Atualizado: Fevereiro de 2016
 
 

Ativar Inicialização Verificada Segura (CLI do Oracle ILOM)

Use essa tarefa para ativar a inicialização verificada segura por meio da CLI do Oracle ILOM. Como alternativa, você pode usar a interface Web do Oracle ILOM. Consulte Inicialização Verificada Segura (Interface Web do Oracle ILOM).

Inicialização verificada refere-se à verificação de módulos de objeto antes da execução usando assinaturas digitais. O Oracle Solaris protege contra o carregamento de módulos kernel invasores. A inicialização verificada aumenta a segurança e a robustez do Oracle Solaris verificando os módulos kernel antes da execução.

Se ativada, a inicialização verificada do Oracle Solaris verificará a assinatura de fábrica em um módulo kernel antes de carregá-lo e executá-lo. Essa verificação detecta modificações acidentais ou mal-intencionadas de um módulo. A ação executada é configurável e, quando ativada, imprimirá uma mensagem de aviso e continuará a carregar e executar o módulo ou falhará e não o carregará.

  1. Acesse o Oracle ILOM no servidor de computação.

    Consulte Fazer Login em um Servidor de Computação e Alterar a Senha Padrão

  2. Ative a inicialização verificada. 
    -> set /HOST/verified_boot/ module_policy=enforce
Set 'module_policy' to 'enforce'
  3. Acesse e exiba o certificado fornecido pela Oracle.

    Um arquivo de certificado de inicialização verificada pré-instalado, /etc/certs/ORCLS11SE, é fornecido como parte do Oracle ILOM.

    # more /etc/certs/ORCLS11SE
-----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----
  4. Inicie o carregamento do certificado. 
    -> set /HOST/verified_boot/user_certs/1 load_uri=console
  5. Copie o conteúdo do arquivo /etc/certs/ORCLS11SE e cole no console do Oracle ILOM.

    Pressione Ctrl-z para salvar e processar informações.

    Pressione Ctrl-c para sair e descartar as alterações.

    -----BEGIN CERTIFICATE-----
MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB
….
CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF
UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4
wgaJllToqg==
-----END CERTIFICATE-----^Z
Load successful.
  6. Verifique o certificado. 
    -> show /HOST/verified_boot/user_certs/1/
/HOST/verified_boot/user_certs/1
Targets:
Properties:
clear_action = (Cannot show property)
issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual
Subscriber CA/CN=Object Signing CA
load_uri = (Cannot show property)
subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11
valid_from = Mar 1 00:00:00 2012 GMT
valid_until = Mar 1 23:59:59 2015 GMT
Commands:
cd
load
reset
show
->
  7. Verifique se o parâmetro OBP use-nvram está definido como false.

    Ao usar a inicialização verificada, o parâmetro use-nvram do OBP deve ser definido como false. Isso impede que o OBP seja modificado para desativar o recurso de inicialização verificada. O valor padrão é false. Faça login no Oracle Solaris e digite:

    $ /usr/sbin/eeprom/eeprom use-nvramrc?

use-nvramrc?=false
Copyright © 2016, Oracle e/ou suas empresas afiliadas. Todos os direitos reservados. 
Anterior
Próximo