ホーム
製品
Red Hat Enterprise Linux
10
セキュリティーの強化
1.4. FIPS 対応システム用の起動可能なディスクイメージの作成

1.4. FIPS 対応システム用の起動可能なディスクイメージの作成

Anaconda インストールを実行するときに、ディスクイメージを作成し、FIPS モードを有効化できます。ディスクイメージを起動するときに、fips=1 カーネル引数を追加する必要があります。

前提条件

ホストマシンに Podman がインストールされている。
ホストマシンに virt-install がインストールされている。
bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

01-fips.toml を作成して FIPS の有効化を設定します。次に例を示します。
```
Enable FIPS
```
```
# Enable FIPS
kargs = ["fips=1"]
```
Copy to Clipboard Toggle word wrap

次の指示を含む Containerfile を作成して、fips=1 カーネル引数を有効にし、暗号化ポリシーを調整します。

FROM registry.redhat.io/rhel10/rhel-bootc:latest
# Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
COPY 01-fips.toml /usr/lib/bootc/kargs.d/
# Install and enable the FIPS crypto policy
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

FROM registry.redhat.io/rhel10/rhel-bootc:latest
# Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
COPY 01-fips.toml /usr/lib/bootc/kargs.d/
# Install and enable the FIPS crypto policy
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

Copy to Clipboard

Toggle word wrap

カレントディレクトリーの Containerfile を使用して、bootc <image> と互換性のあるベースディスクイメージを作成します。

sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v $(pwd)/config.toml:/config.toml:ro \
    -v $(pwd)/output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --local

$ sudo podman run \
    --rm \
    -it \
    --privileged \
    --pull=newer \
    --security-opt label=type:unconfined_t \
    -v $(pwd)/config.toml:/config.toml:ro \
    -v $(pwd)/output:/output \
    -v /var/lib/containers/storage:/var/lib/containers/storage \
    registry.redhat.io/rhel10/bootc-image-builder:latest \
    --local
    --type qcow2 \
    --type iso \
    quay.io/<namespace>/<image>:<tag>

Copy to Clipboard

Toggle word wrap

システムのインストール中に FIPS モードを有効にします。
1. RHEL Anaconda インストーラーを起動するときに、インストール画面で TAB キーを押して、fips=1 カーネル引数を追加します。
  インストール後に、システムは FIPS モードで自動的に起動します。

検証

システムにログインした後、FIPS モードが有効になっていることを確認します。
```
cat /proc/sys/crypto/fips_enabled
1
update-crypto-policies --show
FIPS
```
```
$ cat /proc/sys/crypto/fips_enabled
1
$ update-crypto-policies --show
FIPS
```
Copy to Clipboard Toggle word wrap

トップに戻る

1.4. FIPS 対応システム用の起動可能なディスクイメージの作成

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links