Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
第8章 米連邦政府の標準および規制
どの組織も、米連邦政府または業界のセキュリティー仕様、標準および規制の遵守に取り組むことで一定のセキュリティーレベルを維持することができます。本章では、これらの標準および規制のいくつかについて説明します。
8.1. 連邦情報処理標準 (FIPS: Federal Information Processing Standard)
連邦情報処理標準 (FIPS) の公開文書である 140-2 は、暗号モジュールの品質を検証するために連邦政府と業界のワーキンググループにより開発されたコンピューターセキュリティー標準です。FIPS の公開文書 (140-2 を含む) は NIST Computer Security Resource Center にあります。
FIPS 140-2 標準は、暗号化ツールが正しく実装されていることを確認します。FIPS 標準の上記の各レベルや他の仕様の詳細は、FIPS 140-2 標準 (FIPS PUB 140-2) の完全ドキュメントを参照してください。
コンプライアンス要件は、 the Red Hat major: Standards page を参照してください。
8.1.1. FIPS モードの有効化
Red Hat Enterprise Linux を連邦情報処理標準 (FIPS) パブリケーション 140-2 に準拠させるには、いくつかの変更を加えて認定済み暗号モジュールを使用することが必要です。システムのインストール中または後に、FIPS モードを有効にしてください。
システムのインストール時
厳格な FIPS 140-2 へのコンプライアンス を満たすには、システムのインストール中にカーネルコマンドラインに
fips=1
カーネルオプションを追加します。このオプションでは、、FIPS で承認されているアルゴリズムを使って鍵を生成し、継続的なモニタリングテストを実施することができます。インストール後には、システムは自動的に FIPS モードで起動します。
重要
マウスを移動するか、キーを何度も押して、インストールプロセス中にシステムに十分なエントロピーを確保します。推奨されるキー入力の回数は 256 回以上です。255 回以下の場合は、生成されるキーが一意でない可能性があります。
システムインストールの後
インストール後に、システムのカーネルスペースとユーザースペースを FIPS モードに変更するには、以下の手順を行います。
- dracut-fips パッケージをインストールします。
~]#
yum install dracut-fips
AES New Instructions (AES-NI) サポートのある CPU は、dracut-fips-aesni パッケージもインストールします。~]#
yum install dracut-fips-aesni
initramfs
ファイルを再生成します。~]#
dracut -v -f
モジュール内の整合性検証を有効化して、カーネルの起動中に必要なモジュールがすべて揃っているようにするには、initramfs
ファイルを再生成する必要があります。警告
この操作により、既存のinitramfs
ファイルが上書きされます。- ブートローダーの設定を変更します。FIPS モードで起動するには、ブートローダーのカーネルコマンドラインに
fips=1
オプションを追加します。/boot
または/boot/EFI
パーティションが個別のパーティションにある場合には、boot=<partition>
パラメーター (<partition> は /boot または /boot/EFI を指します) もカーネルのコマンドラインに追加してください。ブートパーティションを特定するには、以下のコマンドを実行します。~]$
df /boot
Filesystem 1K-blocks Used Available Use% Mounted on /dev/sda1 495844 53780 416464 12% /bootブート間でデバイス名が変更されてもboot=
設定オプションが機能するようにするには、以下のコマンドを実行してパーティションの UUID (Universally Unique Identifier) を特定します。~]$
blkid /dev/sda1
/dev/sda1: UUID="05c000f1-f899-467b-a4d9-d5ca4424c797" TYPE="ext4"UUID をカーネルコマンドラインに追加します。boot=UUID=05c000f1-f899-467b-a4d9-d5ca4424c797
お使いのブートローダーによっては、以下の変更を加えてください。- GRUB 2
/etc/default/grub
ファイルのGRUB_CMDLINE_LINUX
キーに、fips=1
およびboot=<partition of /boot>
のオプションを追加します。/etc/default/grub
への変更を適用するには、以下のようにgrub.cfg
ファイルを再構築します。- BIOS ベースのマシンでは、
root
で以下のコマンドを実行します。~]#
grub2-mkconfig -o /etc/grub2.cfg
- UEFI ベースのマシンでは、
root
で以下のコマンドを実行します。~]#
grub2-mkconfig -o /etc/grub2-efi.cfg
- zipl (IBM z Systems アーキテクチャーのみ)カーネルコマンドラインで、
fips=1
およびboot=<partition of /boot>
オプションを/etc/zipl.conf
に追加し、以下のコマンドを実行して変更を適用します。~]#
zipl
- プレリンクが無効になっていることを確認します。モジュール内の整合性検証の適切な実行にあたり、ライブラリーやバイナリーのプレリンクは無効にする必要があります。プレリンクは prelink パッケージにより行われますが、デフォルトではインストールされません。 prelink をインストールしていない場合は、この手順は必要ありません。プレリンクを無効にするには、
/etc/sysconfig/prelink
設定ファイルでPRELINKING=no
オプションを設定します。全システムファイルの既存のプレリンクを無効にするには、prelink -u -a
コマンドを使用します。 - システムを再起動します。
コンテナーで FIPS モードの有効化
ホストを FIPS140-2 モードにも設定していて、以下の要件のいずれかを満たしている場合は、FIPS140-2 モードに切り替えることができます。
- コンテナーに、dracut-fips パッケージがインストールされている。
/etc/system-fips
ファイルが、ホストからコンテナーにマウントされている。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。