1.4. FIPS 対応システム用の起動可能なディスクイメージの作成
Anaconda インストールを実行するときに、ディスクイメージを作成し、FIPS モードを有効化できます。ディスクイメージを起動するときに、fips=1
カーネル引数を追加する必要があります。
前提条件
- ホストマシンに Podman がインストールされている。
-
ホストマシンに
virt-install
がインストールされている。 -
bootc-image-builder
ツールを実行し、コンテナーを--privileged
モードで実行して、イメージをビルドするための root アクセスがある。
手順
01-fips.toml
を作成して FIPS の有効化を設定します。次に例を示します。Enable FIPS
# Enable FIPS kargs = ["fips=1"]
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 次の指示を含む Containerfile を作成して、
fips=1
カーネル引数を有効にし、暗号化ポリシーを調整します。FROM registry.redhat.io/rhel10/rhel-bootc:latest # Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html COPY 01-fips.toml /usr/lib/bootc/kargs.d/ # Install and enable the FIPS crypto policy RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS
FROM registry.redhat.io/rhel10/rhel-bootc:latest # Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html COPY 01-fips.toml /usr/lib/bootc/kargs.d/ # Install and enable the FIPS crypto policy RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS
Copy to Clipboard Copied! Toggle word wrap Toggle overflow カレントディレクトリーの
Containerfile
を使用して、bootc<image>
と互換性のあるベースディスクイメージを作成します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow システムのインストール中に FIPS モードを有効にします。
RHEL Anaconda インストーラーを起動するときに、インストール画面で TAB キーを押して、
fips=1
カーネル引数を追加します。インストール後に、システムは FIPS モードで自動的に起動します。
検証
システムにログインした後、FIPS モードが有効になっていることを確認します。
cat /proc/sys/crypto/fips_enabled 1 update-crypto-policies --show FIPS
$ cat /proc/sys/crypto/fips_enabled 1 $ update-crypto-policies --show FIPS
Copy to Clipboard Copied! Toggle word wrap Toggle overflow