FIPS コンプライアンスとは
連邦情報処理標準 (FIPS) は、暗号化ソフトウェアを承認するために米国政府によって指定された標準です。米国国立標準技術研究所 (NIST) はこれまでに FIPS 140-1 および FIPS 140-2 標準を発行しており、FIPS PUB 140-2 は「暗号化モジュールのセキュリティ要件」の標準です。
CentOS/RHEL 7 で FIPS を有効にする手順には、dracut-fips パッケージのインストールが含まれます。このパッケージは、ファイル /etc/system-fips を提供します。このファイルは、openssh クライアントなどの FIPS 対応ソフトウェアが、カーネルで FIPS モードが有効になっているかどうかを確認するために使用します。 fips=1 の使用 インストール中に、dracut-fips パッケージも自動的にインストールするようにインストーラーに指示します。
FIPS モードを無効にする
1. dracut-fips パッケージを削除します。
# yum remove dracut-fips*
2. FIPS initramfs のバックアップを取ります。
# cp -p /boot/initramfs-$(uname -r).img /boot/initramfs-$(uname -r).backup注意 処置:initramfsファイルが作成されているかどうかを確認してください。また、スペースの問題を回避するために、/boot/ の代わりに別の場所を使用することもできます。
3. initramfs ファイルを再作成します:
# dracut -f
または
# dracut -f -v /boot/initramfs-$(uname -r).img $(uname -r)
4. fips=1 を無効にします カーネルコマンドラインからの値。次のオプション「fips=0」を追加して、grub.cfg 内の現在のカーネルのカーネル コマンド ラインを変更します。 」を GRUB_CMDLINE_LINUX に /etc/default/grub のキー ファイルを作成し、grub.cfg ファイルを再構築します:
GRUB_CMDLINE_LINUX 行がどのように見えるかの例:
# cat /etc/default/grub | grep GRUB_CMDLINE_LINUX= GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=vg_os/root rd.lvm.lv=vg_os/swap rhgb quiet fips=0"
5. /etc/default/grub を変更するには、次のように grub.cfg ファイルを再構築する必要があります:
# grub2-mkconfig -o /boot/grub2/grub.cfg
または、UEFI ベースの実行の場合:
# grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
6. サーバーを再起動して変更を有効にします。
# shutdown -r now
7. 再起動後に FIPS が強制モードになっていないことを確認します /proc/sys/crypto/fips_enabled 0 であるべきです。
例:
# cat /proc/sys/crypto/fips_enabled 0