ホーム
製品
Red Hat Enterprise Linux
9
Image Mode for RHEL を使用したオペレーティングシステムの構築、デプロイ、管理
第9章 bootc イメージビルド時の FIPS モードの有効化

第9章 bootc イメージビルド時の FIPS モードの有効化

FIPS には暗号化操作の標準が含まれています。bootc イメージのビルド時に FIPS モードを有効にすると、FIPS 承認済みモジュールのみを使用するようにシステムを設定できます。FIPS モードを有効にするには、2 つの方法があります。

bootc-image-builder ツールを使用する場合は、Containerfile で FIPS 暗号化ポリシーを有効にする必要があります。
Anaconda インストールを実行するときに、Containerfile で FIPS 暗号化ポリシーを有効にするのに加えて、ブート時に fips=1 カーネル引数を追加する必要があります。

FIPS dracut モジュールがベースイメージに組み込まれています。このモジュールのデフォルトは、bootc install-to-filesystem の boot=UUID= karg です。

9.1. bootc-image-builder を使用した FIPS モードの有効化
リンクのコピー

bootc-image-builder または bootc install to-disk を使用してディスクイメージを作成し、イメージビルド時にカスタムの Containerfile を引数として渡すことで FIPS モードを有効にします。

前提条件

ホストマシンに Podman がインストールされている。
ホストマシンに virt-install がインストールされている。
bootc-image-builder ツールを実行し、コンテナーを --privileged モードで実行して、イメージをビルドするための root アクセスがある。

手順

01-fips.toml を作成して FIPS の有効化を設定します。次に例を示します。
```
Enable FIPS
```
```
# Enable FIPS
kargs = ["fips=1"]
```
Copy to Clipboard Toggle word wrap

次の手順で Containerfile を作成して、fips=1 カーネル引数を有効にします。

FROM registry.redhat.io/rhel9/rhel-bootc:latest
# Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
COPY 01-fips.toml /usr/lib/bootc/kargs.d/
# Enable the FIPS crypto policy
# crypto-policies-scripts is not installed by default in RHEL-10
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

FROM registry.redhat.io/rhel9/rhel-bootc:latest
# Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
COPY 01-fips.toml /usr/lib/bootc/kargs.d/
# Enable the FIPS crypto policy
# crypto-policies-scripts is not installed by default in RHEL-10
RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

Copy to Clipboard

Toggle word wrap

カレントディレクトリーの Containerfile を使用して、bootc <image> と互換性のあるベースディスクイメージを作成します。
```
podman build -t quay.io/<namespace>/<image>:<tag> .
```
```
$ podman build -t quay.io/<namespace>/<image>:<tag> .
```
Copy to Clipboard Toggle word wrap

検証

システムにログインした後、FIPS モードが有効になっていることを確認します。
```
cat /proc/sys/crypto/fips_enabled
1
update-crypto-policies --show
FIPS
```
```
$ cat /proc/sys/crypto/fips_enabled
1
$ update-crypto-policies --show
FIPS
```
Copy to Clipboard Toggle word wrap

トップに戻る

第9章 bootc イメージビルド時の FIPS モードの有効化

9.1. bootc-image-builder を使用した FIPS モードの有効化
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第9章 bootc イメージビルド時の FIPS モードの有効化

9.1. bootc-image-builder を使用した FIPS モードの有効化リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

9.1. bootc-image-builder を使用した FIPS モードの有効化
リンクのコピー