付録C FIPS 準拠ホストのプロビジョニング

Red Hat Satellite 6 は、National Institute of Standards and Technology の 暗号モジュールのセキュリティー要件 (Security Requirements for Cryptographic Modules) 標準 (参照番号 FIPS 140-2、FIPS と呼ばれる) に準拠するプロビジョニングホストをサポートします。

FIPS に準拠するホストのプロビジョニングを有効にするには、以下のタスクを実行します。

  • オペレーティングシステムのプロビジョニングのパスワードハッシュアルゴリズムを変更する。
  • ホストグループを作成し、ホストグループのパラメーターを設定して FIPS を有効にする。

ホストグループの作成に関する情報は、『ホストの管理』ガイドの「ホストグループの作成」を参照してください。

プロビジョニングしたホストに、FIPS に準拠する設定が適用されている。これらの設定が有効であることを確認するには、「FIPS モードの有効化の確認」の手順を実行します。

C.1. プロビジョニングのパスワードハッシュアルゴリズムの変更

FIPS に準拠するホストをプロビジョニングするには、プロビジョニングで使用するパスワードのハッシュアルゴリズムを SHA256 に設定します。この設定は、FIPS 準拠としてデプロイするオペレーティングシステムごとに、適用する必要があります。

  1. オペレーティングシステム ID を特定します。

    $ hammer os list

    出力例:

    ---|-----------------|--------------|-------
    ID | TITLE           | RELEASE NAME | FAMILY
    ---|-----------------|--------------|-------
    2  | RedHat 6.6      |              | Redhat
    3  | RedHat 7.6      |              | Redhat
    1  | RedHat 7.7      |              | Redhat
    4  | RedHat 6.7      |              | Redhat
    ---|-----------------|--------------|-------
  2. 各オペレーティングシステムのパスワードハッシュ値を更新します。

    $ hammer os update --title Operating_System \
      --password-hash SHA256
  3. TITLE 列と同じ値を使用して、オペレーティングシステムごとにこのコマンドを繰り返します。

    $ hammer os update --title "RedHat version_number" \
      --password-hash SHA256

    値をコンマ区切りで指定することはできない点に注意してください。

C.2. FIPS 有効化パラメーターの設定

FIPS 準拠のホストをプロビジョニングするには、ホストグループを作成して、ホストグループのパラメーター fips_enabledtrue に設定する必要があります。このパラメーターが true に設定されていない場合や、ない場合には、FIPS 固有の変更がシステムに適用されません。ホストのプロビジョニング時または、ホストグループを使用する場合に、このパラメーターを使用してください。

ホストのプロビジョニング時にこのパラメーターを設定するには、--parameters fips_enabled=true を Hammer コマンドに追加します。

既存のホストグループにこのパラメーターを設定するには、次のコマンドを入力します。

$ hammer hostgroup set-parameter --name fips_enabled \
 --value 'true' \
 --hostgroup prod_servers

詳細は、hammer hostgroup set-parameter --help コマンドの出力を参照してください。

C.3. FIPS モードの有効化の確認

FIPS 準拠が有効になっていることを確認するには、ホストのプロビジョニング後に、以下の手順を実行します。

  1. root または管理者レベルのアカウントで、ホストにログインしてください。
  2. 以下のコマンドを実行します。

    cat /proc/sys/crypto/fips_enabled

値が 1 の場合は、FIPS モードが有効であることが分かります。