Co je soulad s FIPS?
Federální standardy zpracování informací (FIPS) jsou standardy stanovené vládou Spojených států pro schvalování kryptografického softwaru. Národní institut pro standardy a technologie (NIST) dosud vydal standardy FIPS 140-1 a FIPS 140-2 a FIPS PUB 140-2 je standard pro „Požadavky na zabezpečení pro kryptografické moduly“.
Kroky pro povolení FIPS na CentOS/RHEL 7 zahrnují instalaci balíčku dracut-fips. Tento balíček poskytuje soubor /etc/system-fips, který software s podporou FIPS, jako je klient openssh, používá ke zjištění, zda je v jádře povolen režim FIPS či nikoli. Pomocí fips=1 během instalace říká instalačnímu programu, aby také automaticky nainstaloval balíček dracut-fips.
Deaktivace režimu FIPS
1. Odstraňte balíčky dracut-fips.
# yum remove dracut-fips*
2. Vytvořte zálohu initramfs FIPS.
# cp -p /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).backupPoznámka :Zkontrolujte, zda byl soubor initramfs vytvořen nebo ne. Také můžete místo /boot/ použít jiné umístění, abyste se vyhnuli problémům s místem.
3. Znovu vytvořte soubor initramfs:
# dracut -f
NEBO
# dracut -f -v /boot/initramfs-$(uname -r).img $(uname -r)
4. Deaktivujte fips=1 hodnotu z příkazového řádku jádra. Upravte příkazový řádek jádra aktuálního jádra v souboru grub.cfg přidáním následující možnosti „fips=0 ” do GRUB_CMDLINE_LINUX zadejte do /etc/default/grub a poté znovu sestavte soubor grub.cfg:
Příklad, jak vypadá řádek GRUB_CMDLINE_LINUX:
# cat /etc/default/grub | grep GRUB_CMDLINE_LINUX= GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=vg_os/root rd.lvm.lv=vg_os/swap rhgb quiet fips=0"
5. Změny v /etc/default/grub vyžadují přebudování souboru grub.cfg následovně:
# grub2-mkconfig -o /boot/grub2/grub.cfg
Nebo Pokud máte běh založený na UEFI:
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
6. Restartujte server, aby se změny projevily:
# shutdown -r now
7. Zkontrolujte, zda po restartu není FIPS v režimu vynucení /proc/sys/crypto/fips_enabled by měla být 0.
Příklad:
# cat /proc/sys/crypto/fips_enabled 0