Включите FIPS 140-2 в человечности
У меня есть Ubuntu 12.04.5 сервер LTS. Главным образом я выполняю сервер SFTP (OpenSSH_5.9), сервер Vsftpd (vsFTPd 2.3.5) и Очередь сообщений IBM. Мой клиент хочет, чтобы этим сервером был FIPS 140-2 сертифицированных, о которых у меня есть только ограниченные знания.
Я использовал утилиту, названную modutil для включения использования FIPS ниже команд.
mkdir -p /root/.pki/nssdb
certutil -N -d /root/.pki/nssdb
modutil -fips true -dbdir /root/.pki/nssdb
Но я не думаю, что это включит FIPS в масштабе всей системы. Я думаю, что это включит FIPS для который конкретный nssdb, расположенный в /root/.pki/nssdb. Мне нужна, по крайней мере, моя SSH & FTP server, чтобы быть жалобой FIPS. Как я могу достигнуть этого? Я знаю, что Red Hat поддерживает FIPS и здесь является их документацией о включении FIPS
Ubuntu поддерживает что-то вроде этого?
3 ответа
FWIW, вещи изменились, так как этот вопрос был отправлен (точно год назад). Канонический теперь объявил, что FIPS доступен для Ubuntu 16.04.
Пара аннотаций из того объявления:
Мы рады объявить, что официально сертифицировал FIPS уровень 1 140-2, криптографические пакеты теперь доступны для Ubuntu 16.04 LTS для Преимущества Ubuntu Усовершенствованные клиенты и как отдельный, отдельный продукт.
и
Пользователи заинтересовали FIPS, 140-2 совместимых модуля на Ubuntu 16.04 могут купить Преимущество Ubuntu в https://buy.ubuntu.com/или путем контакта с Каноническим Торговым персоналом.
Для получения дополнительной информации посетите https://www.ubuntu.com/security.
Я также нашел страницу о том, как установить. Конечно, как упомянуто, это является коммерческим только.
Править: CentOS, у пользователей RHEL есть FIPS, исходно доступный
Восходящим OpenSSH проекта не является FIPS 140-2 совместимых из поля и существует несколько изменений, которые должны были быть сделаны в OpenSSH, который делает, он сертифицировал в Red Hat Enterprise Linux. Ни один из этих патчей не находится в Ubuntu OpenSSH так из поля, Вы не можете сделать Ubuntu FIPS 140-2 совместимых (не восстанавливая и изменяя значительную часть пакетов и по всей вероятности ядра также).
Согласно веб-сайту NIST, http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2017.htm Ubuntu OpenSSL Криптографическим Модулем был FIPS, проверенный 24.04.2017.
веб-сайт ссылается на документ политики безопасности в http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2888.pdf . Это описывает, как включить режим FIPS на Ubuntu, таким образом, необходимо было бы считать это и следовать инструкциям.
Несколько вещей иметь в виду. В документе говорится, что проверка была выполнена на 16.04 LTS, таким образом, первый шаг должен будет обновить до той версии.
, Но прежде чем Вы сделаете, которые удостоверяются, что Вы получаете все остальное, которое Вам нужно. Документ также указывает, что для x86_64, необходимо установить libssl1.0.0_1.0.2g-1ubuntu4.fips.4.6.2_amd64.deb - я гуглил весь день, и я понятия не имею, где найти его.