使用此工作可透過 Oracle ILOM CLI 啟用安全驗證式開機。您也可以使用 Oracle ILOM Web 介面。請參閱安全驗證式開機 (Oracle ILOM Web 介面)。
驗證式開機是指先驗證物件模組,再使用數位簽章執行。Oracle Solaris 的保護會讓惡意核心模組無法載入。驗證式開機會在核心模組執行前先行驗證,因此可增加 Oracle Solaris 的安全和穩定性。
啟用後,Oracle Solaris 驗證式開機會先檢查核心模組中的原廠簽署簽章,然後才載入和執行該模組。這項檢查可偵測模組是否不慎被修改或經過惡意修改。您可以設定要採取的動作,若啟用,則可以列出警告訊息並繼續載入和執行模組,或是宣告失敗而不載入且不執行模組。
請參閱登入運算伺服器並變更預設密碼。
-> set /HOST/verified_boot/ module_policy=enforce Set 'module_policy' to 'enforce'
預先安裝的驗證式開機憑證檔案 /etc/certs/ORCLS11SE 是隨著 Oracle ILOM 所提供。
# more /etc/certs/ORCLS11SE -----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----
-> set /HOST/verified_boot/user_certs/1 load_uri=console
輸入 Ctrl-z 以儲存並處理資訊。
輸入 Ctrl-c 以結束並捨棄變更。
-----BEGIN CERTIFICATE----- MIIFEzCCA/ugAwIBAgIQDfuxWi0q5YGAhus0XqR+7TANBgkqhkiG9w0BAQUFADCB …. CXZousDBt9DdhjX6d0ZPLkdzBxqm8Bxg9H3iKtZBPuhZBl9iXvLEOzY8sS0AW7UF UHGOvZ9U6m4Tq5+KDiJ8QXZG2ipTeat5XdzLmzA9w2jrrfx0N+NcgvIVjdPXD8C4 wgaJllToqg== -----END CERTIFICATE-----^Z Load successful.
-> show /HOST/verified_boot/user_certs/1/ /HOST/verified_boot/user_certs/1 Targets: Properties: clear_action = (Cannot show property) issuer = /C=US/O=Oracle Corporation/OU=VeriSign Trust Network/OU=Class 2 Managed PKI Individual Subscriber CA/CN=Object Signing CA load_uri = (Cannot show property) subject = /O=Oracle Corporation/OU=Corporate Object Signing/OU=Solaris Signed Execution/CN=Solaris 11 valid_from = Mar 1 00:00:00 2012 GMT valid_until = Mar 1 23:59:59 2015 GMT Commands: cd load reset show ->
使用驗證式開機時,OBP use-nvram 參數必須設為 false。這樣可防止 OBP 被修改為停用驗證式開機功能。預設值為 false。登入 Oracle Solaris 並輸入:
$ /usr/sbin/eeprom/eeprom use-nvramrc? use-nvramrc?=false