CentOS/RHEL 7 を Federal Information Processing Standard Publication (FIPS) 140-2 に準拠させるには、認定された暗号化モジュールが使用され、システム (カーネルとユーザー空間) が FIPS モードであることを確認するために、いくつかの変更が必要です。
前提条件
1. 現在の openssl バージョンが fips をサポートしていることを確認します:
# openssl version OpenSSL 1.0.1e-fips 11 Feb 2013
2. 次のコマンドの出力を確認します。カーネルがすでに FIP 用に構成されているかどうかを示します。 0 と表示されます そうでない場合
# cat /proc/sys/crypto/fips_enabled 0
3. 将来の問題で必要になる場合に備えて、出力「blkid」と「df -h」のバックアップを取ります。
# blkid > /var/tmp/blkid_bkp_`date` # df -h > /var/tmp/df_bkp_`date`
4. /etc/sysconfig/prelink 内 プレリンクが無効になっているかどうかを確認します。これは、「PRELINKING=no」を構成することで実行できます 」を構成ファイルに追加します。
注意 注:サーバーにプレリンクがない場合は、この手順を省略できます。5. サーバーが AESNI (Advanced Encryption Standard Instruction Set) を使用しているかどうかを確認します。
# cat /proc/cpuinfo | grep aes # lsmod | grep aes注意 :サーバーで aes が機能している場合は、先に進む前にライブラリ依存関係をインストールします:dracut-fips-aesni。
歩数
カーネルで FIP をアクティブにします:
1. dracut-fips をインストールします。
# yum install dracut-fips
2. 現在の initramfs のバックアップを取ります。
# cp -p /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).backup
initramfs のバックアップが作成されていることを確認してください。
3. initramfs ファイルを再作成します:
# dracut -f
4. grub.cfg ファイルで現在のカーネルのカーネル コマンド ラインを変更します。 /etc/default/grub.cfg 内 、GRUB_CMDLINE_LINUX で 行の最後に次のオプションを追加します。「fips=1」 」
# cat /etc/default/grub | grep GRUB_CMDLINE_LINUX= GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=vg_os/root rd.lvm.lv=vg_os/swap rhgb quiet fips=1"
5. 次のように grub.cfg ファイルを再構築します。
# grub2-mkconfig -o /boot/grub2/grub.cfg
サーバーが UEFI ベースを使用するように構成されている場合は、次のコマンドを実行して grub.cfg を再構築します。
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
6. システムを再起動します。
# shutdown -r now
7. 最後に、FIP が有効になっているかどうかを再度確認します。有効な場合は 1 と表示されます。
# cat /proc/sys/crypto/fips_enabled 1