Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

第9章 Federal Standards and Regulations

セキュリティーレベルを維持するには、組織がフォール法および業界のセキュリティー仕様、標準および規制に準拠して作業を行うことが可能です。本章では、これらの標準および規制について説明します。

9.1. FIPS (Federal Information Processing Standard)

連邦情報処理標準(FIPS)140-2 は、U.S により開発されたコンピューターセキュリティー標準です。暗号化モジュールの品質を検証する政府および業界の作業グループ。NIST Computer Security Resource Center で公式の FIPS のパブリッシュを参照してください。
FIPS 140-2 標準は、暗号化ツールがアルゴリズムを適切に実装できるようにします。これらのレベルと FIPS 標準に関するその他の仕様の 詳細 は、http://dx.doi.org/10.6028/NIST.FIPS.140-2 の完全な FIPS 140-2 標準を参照してください。
コンプライアンスの要件については、「 Red Hat Government Standards」ページ を参照してください。

9.1.1. FIPS モードの有効化

連邦情報処理標準(FIPS)140-2 に準拠する Red Hat Enterprise Linux に準拠するには、いくつかの変更を加える必要があります。システムのインストール時または後に FIPS モードを有効にすることができます。

システムのインストール時

厳密な FIPS 140-2 コンプライアンス を有効なものにするには、システムのインストール時に fips=1 カーネルオプションをカーネルコマンドラインに追加します。このオプションを使用すると、鍵の生成は、FIPS で承認されるアルゴリズムと継続的な監視テストに基づいて行われます。インストール後に、システムは FIPS モードに自動的に起動するように設定されています。
重要
マウスを周り移動するか、多数のキーストエイクを押して、インストールプロセス時にシステムに不正確なエントロピーがあることを確認します。推奨されるキー入力の量は 256 以上です。256 型のキーよりも一意でない鍵が生成されることがあります。

システムのインストール後

インストール後に、システムのカーネルスペースとユーザースペースを FIPS モードにするには、以下の手順を実行します。
  1. dracut-fips パッケージをインストールします。
    ~]# yum install dracut-fips
    AES New Instructions(AES-NI)サポートのある CPU の場合は、dracut-fips-aesni パッケージをインストールします。
    ~]# yum install dracut-fips-aesni
  2. initramfs ファイルを再生成します。
    ~]# dracut -v -f
    モジュールの整合性検証を有効にし、カーネルブート中に必要なすべてのモジュールを有効にするには、initramfs ファイルを再生成する必要があります。
    警告
    この操作は既存の initramfs ファイルを上書きします。
  3. ブートローダー設定を変更します。
    FIPS モードを起動するには、ブートローダーのカーネルコマンドラインに fips=1 オプションを追加します。/boot または /boot/EFI/ パーティションが別のパーティションに存在する場合は、boot=<partition> <partition> は /boot)パラメーターをカーネルコマンドラインに追加します。
    起動パーティションを特定するには、以下のコマンドを入力します。
    ~]$ df /boot
    Filesystem           1K-blocks      Used Available Use% Mounted on
    /dev/sda1               495844     53780    416464  12% /boot
    デバイスの命名がブート間で変更しても、boot= 設定オプションが機能するようにするには、次のコマンドを実行して、パーティションの汎用一意識別子(UUID)を特定します。
    ~]$ blkid /dev/sda1
    /dev/sda1: UUID="05c000f1-f899-467b-a4d9-d5ca4424c797" TYPE="ext4"
    UUID をカーネルコマンドラインに追加します。
    boot=UUID=05c000f1-f899-467b-a4d9-d5ca4424c797
    ブートローダーに応じて、以下の変更を加えます。
    • GRUB 2
      /etc/default/grub ファイルの GRUB_CMDLINE_LINUX キーに fips=1 および boot=<partition of /boot> オプションを追加します。/etc/default/grub に変更を適用するには、以下のように grub.cfg ファイルを再構築します。
      • BIOS ベースのマシンでは、root で以下のコマンドを入力します。
        ~]# grub2-mkconfig -o /etc/grub2.cfg
      • UEFI ベースのマシンでは、root で以下のコマンドを入力します。
        ~]# grub2-mkconfig -o /etc/grub2-efi.cfg
    • zipl(IBM z Systems アーキテクチャーのみ)
      fips=1 および boot=<partition of /boot> オプションをカーネルコマンドラインに追加して、変更を適用します。/etc/zipl.conf
      ~]# zipl
  4. プレリンクが無効になっていることを確認します。
    モジュールの整合性検証の適切な操作のために、ライブラリーおよびバイナリーを事前リンクさせる必要があります。事前リンクは、prelink パッケージにより行われており、デフォルトではインストールされません。prelink がインストールされていないと、このステップは必要ありません。事前リンクを無効にするには、/etc/sysconfig/prelink 設定ファイルで PRELINKING=no オプションを設定します。すべてのシステムファイルで既存の事前リンクを無効にするには、prelink -u -a コマンドを使用します。
  5. システムを再起動します。

コンテナーでの FIPS モードの有効化

ホストが FIPS140-2 モードに設定され、以下のいずれかの要件を満たす場合には、コンテナを FIPS140-2 モードに切り替えることができます。
  • dracut-fips パッケージがコンテナーにインストールされている。
  • /etc/system-fips ファイルは、ホストからコンテナーにマウントされます。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。