9장. 연방 표준 및 규정
보안 수준을 유지하기 위해서는 조직이 연방 및 산업 보안 사양, 표준 및 규정을 준수하기 위해 노력합니다. 이 장에서는 이러한 규칙 및 규정 중 일부를 설명합니다.
9.1. 연방 정보 처리 표준 (FIPS)
연방 정보 처리 표준(FIPS) (Federal Information Processing Standard) (FIPS)Publication집합은 미국이 개발한 컴퓨터 보안 표준입니다. 정부 및 업계 실무 그룹이 암호화 모듈의 품질을 검증합니다. NIST Computer Security Resource Center 에서 공식 FIPS 발행물을 참조하십시오.
FIPS 140-2 표준을 사용하면 암호화 도구가 알고리즘을 적절하게 구현할 수 있습니다. 이러한 수준 및 FIPS 표준의 기타 사양에 대한 자세한 내용은 http://dx.doi.org/10.6028/NIST.FIPS.140-2 에서 전체 FIPS 8.2 표준을 참조하십시오.
규정 준수 요구 사항에 대한 자세한 내용은 Red Hat Government Standards 페이지를 참조하십시오.
9.1.1. FIPS 모드 활성화
Red Hat Enterprise Linux가 연방 정보 처리 표준(FIPS)의 표준(Federal Information Processing Standard) publication를 준수하도록 하려면, certified 암호화 모듈을 사용하기 위해 여러 가지 변경을 수행해야 합니다. 시스템 설치 중에 또는 그 이후에 FIPS 모드를 활성화할 수 있습니다.
시스템 설치 중
엄격한 FIPS 140-2 규정 준수 를 준수하려면 시스템 설치 중에
fips=1 커널 옵션을 커널 명령줄에 추가하십시오. 이 옵션을 사용하면 모든 키 생성은 FIPS 승인 알고리즘과 지속적인 모니터링 테스트를 통해 수행됩니다. 설치 후 시스템은 자동으로 FIPS 모드로 부팅되도록 구성됩니다.
중요
마우스를 이동하거나 많은 키 입력을 눌러 설치 프로세스 중에 시스템에 엔트로피가 충분한지 확인합니다. 권장되는 키 입력은 256개 이상입니다. 256 키 입력보다 작으면 고유하지 않은 키를 생성할 수 있습니다.
시스템 설치 후
설치 후 시스템의 커널 공간 및 사용자 공간을 FIPS 모드로 전환하려면 다음 단계를 따르십시오.
- dracut-fips 패키지를 설치합니다.
~]# yum install dracut-fipsAES(AES New Instructions)가 지원하는 CPU의 경우 dracut-fips-aesni 패키지를 설치하십시오.~]# yum install dracut-fips-aesni initramfs파일을 다시 생성합니다.~]# dracut -v -f모듈 내 무결성 확인을 활성화하고 커널 부팅 중에 필요한 모든 모듈을 제공하려면initramfs파일을 다시 생성해야 합니다.주의이 작업은 기존initramfs파일을 덮어씁니다.- 부트 로더 구성을 수정합니다.FIPS 모드로 부팅하려면 부트 로더의 커널 명령줄에
fips=1옵션을 추가합니다./boot또는/boot/EFI/파티션이 별도의 파티션에 있는 경우boot= <partition>(여기서 < partition >은/boot) 매개 변수를 커널 명령 줄에 추가하십시오.부팅 파티션을 확인하려면 다음 명령을 입력합니다.~]$ df /boot Filesystem 1K-blocks Used Available Use% Mounted on /dev/sda1 495844 53780 416464 12% /boot부팅 시 장치 이름 지정이 변경되어도boot=구성 옵션이 작동하는지 확인하려면 다음 명령을 실행하여 파티션의 범용 고유 식별자(UUID)를 식별합니다.~]$ blkid /dev/sda1 /dev/sda1: UUID="05c000f1-f899-467b-a4d9-d5ca4424c797" TYPE="ext4"커널 명령줄에 UUID를 추가합니다.boot=UUID=05c000f1-f899-467b-a4d9-d5ca4424c797
부트 로더에 따라 다음과 같이 변경합니다.- GRUB 2
/etc/default/boot> 옵션을 추가합니다. 변경 사항을/grub파일의GRUB_CMDLINE_LINUX키에fips=1및 boot=<partition of/etc/default/grub에 적용하려면 다음과 같이grub.cfg파일을 다시 빌드합니다.- BIOS 기반 시스템에서
root로 다음 명령을 입력합니다.~]# grub2-mkconfig -o /etc/grub2.cfg - UEFI 기반 시스템에서
root로 다음 명령을 입력합니다.~]# grub2-mkconfig -o /etc/grub2-efi.cfg
- zipl (IB z Systems 아키텍처에서만)
fips=1및boot=<partition of /boot> 옵션을 커널 명령행에/etc/zipl.conf에 추가하고 다음을 입력하여 변경 사항을 적용합니다.~]# zipl
- 사전 연결이 비활성화되어 있는지 확인합니다.모듈 내 무결성 확인이 제대로 작동하려면 라이브러리 및 바이너리를 사전 링크해야 합니다. 사전 연결은 기본적으로 설치되지 않은 prelink 패키지로 수행됩니다. 사전 링크가 설치되지 않은 경우 이 단계는 필요하지 않습니다. 사전 링크를 비활성화하려면
/etc/sysconfig/prelink설정 파일에서PRELINKING=no옵션을 설정합니다. 모든 시스템 파일에서 기존 사전 연결을 비활성화하려면 prelink -u -a 명령을 사용합니다. - 시스템을 재부팅합니다.
컨테이너에서 FIPS 모드 활성화
호스트가 FIPS140-2 모드로 설정되어 있고 다음 요구 사항 중 하나가 충족되면 컨테이너는 FIPS140-2 모드로 전환할 수 있습니다.
- dracut-fips 패키지는 컨테이너에 설치됩니다.
/etc/system-fips파일은 호스트의 컨테이너에 마운트됩니다.
