付録C FIPS 準拠ホストのプロビジョニング
Red Hat Satellite 6 は、National Institute of Standards and Technology の 暗号モジュールのセキュリティー要件 (Security Requirements for Cryptographic Modules) 標準 (参照番号 FIPS 140-2、FIPS と呼ばれる) に準拠するプロビジョニングホストをサポートします。
FIPS に準拠するホストのプロビジョニングを有効にするには、以下のタスクを実行します。
- オペレーティングシステムのプロビジョニングのパスワードハッシュアルゴリズムを変更する。
- ホストグループを作成し、ホストグループのパラメーターを設定して FIPS を有効にする。
ホストグループの作成に関する情報は、『ホストの管理』ガイドの「ホストグループの作成」を参照してください。
プロビジョニングしたホストに、FIPS に準拠する設定が適用されている。これらの設定が有効であることを確認するには、「FIPS モードの有効化の確認」の手順を実行します。
C.1. プロビジョニングのパスワードハッシュアルゴリズムの変更
FIPS に準拠するホストをプロビジョニングするには、プロビジョニングで使用するパスワードのハッシュアルゴリズムを SHA256 に設定します。この設定は、FIPS 準拠としてデプロイするオペレーティングシステムごとに、適用する必要があります。
オペレーティングシステム ID を特定します。
$ hammer os list
出力例:
---|-----------------|--------------|------- ID | TITLE | RELEASE NAME | FAMILY ---|-----------------|--------------|------- 2 | RedHat 6.6 | | Redhat 3 | RedHat 7.6 | | Redhat 1 | RedHat 7.7 | | Redhat 4 | RedHat 6.7 | | Redhat ---|-----------------|--------------|-------
各オペレーティングシステムのパスワードハッシュ値を更新します。
$ hammer os update --title Operating_System \ --password-hash SHA256TITLE列と同じ値を使用して、オペレーティングシステムごとにこのコマンドを繰り返します。$ hammer os update --title "RedHat version_number" \ --password-hash SHA256値をコンマ区切りで指定することはできない点に注意してください。
C.2. FIPS 有効化パラメーターの設定
FIPS 準拠のホストをプロビジョニングするには、ホストグループを作成して、ホストグループのパラメーター fips_enabled を true に設定する必要があります。このパラメーターが true に設定されていない場合や、ない場合には、FIPS 固有の変更がシステムに適用されません。ホストのプロビジョニング時または、ホストグループを使用する場合に、このパラメーターを使用してください。
ホストのプロビジョニング時にこのパラメーターを設定するには、--parameters fips_enabled=true を Hammer コマンドに追加します。
既存のホストグループにこのパラメーターを設定するには、次のコマンドを入力します。
$ hammer hostgroup set-parameter --name fips_enabled \
--value 'true' \
--hostgroup prod_servers
詳細は、hammer hostgroup set-parameter --help コマンドの出力を参照してください。
C.3. FIPS モードの有効化の確認
FIPS 準拠が有効になっていることを確認するには、ホストのプロビジョニング後に、以下の手順を実行します。
-
rootまたは管理者レベルのアカウントで、ホストにログインしてください。 以下のコマンドを実行します。
cat /proc/sys/crypto/fips_enabled
値が 1 の場合は、FIPS モードが有効であることが分かります。