検証済みブート環境の確認

Oracle Solaris 検証済みブートは、悪意を持って、または誤って変更されたクリティカルなブートおよびカーネルコンポーネントを取り込むリスクを軽減するマルウェア対策および整合性機能です。この機能は、出荷時に署名されているファームウェア、ブートシステム、およびカーネルの暗号化署名をチェックします。

デフォルトでは、MiniCluster 大域ゾーンには Oracle Solaris 検証済みブートが構成されています。システムに検証済みブートが構成されていることを確認するには、次の手順を実行します。

1. いずれかのノードの Oracle ILOM にログインします。

   Oracle ILOM のログイン手順については、『Oracle MiniCluster S7-2 管理ガイド』を参照してください。

2. Oracle ILOM で検証済みブートの構成を確認します。

   boot_policy が warning に設定されていることを確認します。

   -> show /HOST/verified_boot
   
    /HOST/verified_boot
       Targets:
           system_certs
           user_certs
   
       Properties:
           boot_policy = warning
   
       Commands:
           cd
           show

3. 検証済みブートのポリシー設定を確認します。

   module_policy が enforce に設定されていることを確認します。

   -> show /HOST/verified_boot module_policy
   
     /HOST/verified_boot
       Properties:
           module_policy = enforce

4. ホストコンソールを起動して大域ゾーンにアクセスします。

   mcinstall としてログインします。

   -> start /HOST/console
   Are you sure you want to start /HOST/console (y/n)? y
   
   Serial console started.  To stop, type #.
   
   Minicluster Setup successfully configured
   mc4-n1 console login: mcinstall
   Password: **************
   Last login: Tue Jun 28 10:17:38 2016 on rad/47
   Oracle Corporation      SunOS 5.11      11.3    June 2016
   Minicluster Setup successfully configured
   Unauthorized modification of this system configuration strictly prohibited
   mcinstall@mc4-n1:/var/home/mcinstall %

5. システムが検証済みブートの構成でブートした証拠を大域ゾーンで探します。

   messages ファイルで、NOTICE: Verified boot enabled; policy=warning という文字列を探します。

   mcinstall % cat /var/adm/messages | grep Verified
   Jun 29 11:39:15 mc4-n1 unix: [ID 402689 kern.info] NOTICE: Verified boot enabled; policy=warning