Aby byl CentOS/RHEL 7 v souladu se standardem FIPS (Federal Information Processing Standard Publication) 140-2, jsou nutné některé změny, které zajistí, že budou používány certifikované kryptografické moduly a že váš systém (jádro a uživatelský prostor) bude v režimu FIPS.
Předpoklady
1. Potvrďte, že aktuální verze openssl podporuje fips:
# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
2. Zkontrolujte výstup následujícího příkazu. Ukazuje, zda je jádro již nakonfigurováno pro FIP. Zobrazí se 0 pokud NE povoleno.
# cat /proc/sys/crypto/fips_enabled 0
3. Udělejte si zálohu výstupu „blkid“ a „df -h“ pro případ, že by to bylo potřeba pro budoucí problémy.
# blkid > /var/tmp/blkid_bkp_`date` # df -h > /var/tmp/df_bkp_`date`
4. V /etc/sysconfig/prelink zkontrolujte, zda je prelink vypnutý. To lze provést konfigurací „PRELINKING=no ” v konfiguračním souboru.
POZNÁMKA :Pokud na serveru není žádný předběžný odkaz, lze tento krok přeskočit.5. Zkontrolujte, zda server používá AESNI (Advanced Encryption Standard Instruction Set):
# cat /proc/cpuinfo | grep aes # lsmod | grep aesPOZNÁMKA :Pokud na serveru funguje aes, nainstalujte před pokračováním závislost knihovny:dracut-fips-aesni.
Kroky
Aktivujte FIP v jádře:
1. Nainstalujte dracut-fips.
# yum install dracut-fips
2. Vytvořte zálohu aktuálních initramfs.
# cp -p /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).backup
Ujistěte se, že byla vytvořena záloha initramfs.
3. Znovu vytvořte soubor initramfs:
# dracut -f
4. Upravte příkazový řádek jádra aktuálního jádra v souboru grub.cfg. V /etc/default/grub.cfg , na GRUB_CMDLINE_LINUX řádek přidejte na konec řádku následující možnost:„fips=1 ”
# cat /etc/default/grub | grep GRUB_CMDLINE_LINUX= GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=vg_os/root rd.lvm.lv=vg_os/swap rhgb quiet fips=1"
5. Znovu sestavte soubor grub.cfg následovně:
# grub2-mkconfig -o /boot/grub2/grub.cfg
V případě, že je server nakonfigurován pro použití založené na UEFI, spusťte následující příkaz k opětovnému sestavení souboru grub.cfg:
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
6. Restartujte systém.
# shutdown -r now
7. Nakonec znovu zkontrolujte, zda je nyní povoleno FIP. Pokud je povoleno, zobrazí se 1.
# cat /proc/sys/crypto/fips_enabled 1