it-swarm.com.de

Aktivieren Sie FIPS 140-2 in Ubuntu

Ich habe Ubuntu 12.04.5 LTS Server. Ich verwende hauptsächlich einen SFTP-Server (OpenSSH_5.9), einen Vsftpd-Server (vsFTPd 2.3.5) und eine IBM Message-Warteschlange. Mein Client möchte, dass dieser Server nach FIPS 140-2 zertifiziert ist, über die ich nur begrenzte Kenntnisse habe.

Ich habe ein Dienstprogramm namens modutil verwendet, um FIPS mit den folgenden Befehlen zu aktivieren.

mkdir -p /root/.pki/nssdb
certutil -N -d /root/.pki/nssdb
modutil -fips true -dbdir /root/.pki/nssdb

Aber ich denke nicht, dass dies FIPS systemweit ermöglicht. Ich denke, dies wird FIPS für diese bestimmte NSSDB aktivieren, die sich unter /root/.pki/nssdb befindet. Ich brauche mindestens meinen SSH- und FTP-Server , um FIPS zu beanstanden. Wie kann ich das erreichen? Ich weiß, dass Red Hat FIPS unterstützt, und hier ist ihr Dokumentation zur Aktivierung von FIPS

Unterstützt Ubuntu so etwas?

7
Midhun Jose

FWIW, die Dinge haben sich geändert, seit diese Frage ( genau vor einem Jahr) veröffentlicht wurde. Canonical hat jetzt bekannt gegeben FIPS ist für Ubuntu 16.04 verfügbar .

Ein paar Klappentexte von dieser Ankündigung:

Wir freuen uns, Ihnen mitteilen zu können, dass offiziell zertifizierte FIPS 140-2 Level 1-Verschlüsselungspakete jetzt für Ubuntu 16.04 LTS für Ubuntu Advantage Advanced-Kunden und als separates, eigenständiges Produkt verfügbar sind.

und

Benutzer, die an FIPS 140-2-kompatiblen Modulen unter Ubuntu 16.04 interessiert sind, können Ubuntu Advantage unter https://buy.ubuntu.com/ oder über das Canonical Sales Team erwerben.

Weitere Informationen finden Sie unter https://www.ubuntu.com/security .

Ich fand auch ein Seite zur Installation . Natürlich ist es, wie erwähnt, nur kommerziell.

EDIT: CentOS, RHEL-Benutzer haben FIPS nativ verfügbar

8
dpb

Das Upstream-Projekt OpenSSH ist nicht standardmäßig mit FIPS 140-2 kompatibel, und in OpenSSH müssen verschiedene Änderungen vorgenommen werden, damit es für Red Hat Enterprise Linux zertifiziert wird. Keiner dieser Patches ist in buntu OpenSSH enthalten, daher können Sie Ubuntu FIPS 140-2 nicht kompatibel machen (ohne einen wesentlichen Teil der Pakete und höchstwahrscheinlich auch den Kernel neu zu erstellen und zu modifizieren).

0
Jakuje

Der NIST-Website zufolge war http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2017.htm das Ubuntu OpenSSL Cryptographic Module FIPS validiert am 24.04.2017.

Die Website verweist auf ein Dokument mit Sicherheitsrichtlinien unter http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2888.pdf . Es wird beschrieben, wie Sie den FIPS -Modus unter Ubuntu aktivieren, damit Sie dies lesen und den Anweisungen folgen müssen.

Ein paar Dinge zu beachten. Das Dokument gibt an, dass die Validierung für 16.04 LTS durchgeführt wurde. Der erste Schritt wäre daher ein Upgrade auf diese Version.

Aber bevor Sie das tun, stellen Sie sicher, dass Sie alles andere bekommen, was Sie brauchen. Das Dokument besagt auch, dass Sie für x86_64 libssl1.0.0_1.0.2g-1ubuntu4.fips.4.6.2_AMD64.deb installieren müssen Ich habe den ganzen Tag gegoogelt und weiß nicht, wo ich es finden soll.

0
Guido Simone