검색

9장. 연방 표준 및 규정

download PDF
보안 수준을 유지하기 위해서는 조직이 연방 및 산업 보안 사양, 표준 및 규정을 준수하기 위해 노력합니다. 이 장에서는 이러한 규칙 및 규정 중 일부를 설명합니다.

9.1. 연방 정보 처리 표준 (FIPS)

연방 정보 처리 표준(FIPS) (Federal Information Processing Standard) (FIPS)Publication집합은 미국이 개발한 컴퓨터 보안 표준입니다. 정부 및 업계 실무 그룹이 암호화 모듈의 품질을 검증합니다. NIST Computer Security Resource Center 에서 공식 FIPS 발행물을 참조하십시오.
FIPS 140-2 표준을 사용하면 암호화 도구가 알고리즘을 적절하게 구현할 수 있습니다. 이러한 수준 및 FIPS 표준의 기타 사양에 대한 자세한 내용은 http://dx.doi.org/10.6028/NIST.FIPS.140-2 에서 전체 FIPS 8.2 표준을 참조하십시오.
규정 준수 요구 사항에 대한 자세한 내용은 Red Hat Government Standards 페이지를 참조하십시오.

9.1.1. FIPS 모드 활성화

Red Hat Enterprise Linux가 연방 정보 처리 표준(FIPS)의 표준(Federal Information Processing Standard) publication를 준수하도록 하려면, certified 암호화 모듈을 사용하기 위해 여러 가지 변경을 수행해야 합니다. 시스템 설치 중에 또는 그 이후에 FIPS 모드를 활성화할 수 있습니다.

시스템 설치 중

엄격한 FIPS 140-2 규정 준수 를 준수하려면 시스템 설치 중에 fips=1 커널 옵션을 커널 명령줄에 추가하십시오. 이 옵션을 사용하면 모든 키 생성은 FIPS 승인 알고리즘과 지속적인 모니터링 테스트를 통해 수행됩니다. 설치 후 시스템은 자동으로 FIPS 모드로 부팅되도록 구성됩니다.
중요
마우스를 이동하거나 많은 키 입력을 눌러 설치 프로세스 중에 시스템에 엔트로피가 충분한지 확인합니다. 권장되는 키 입력은 256개 이상입니다. 256 키 입력보다 작으면 고유하지 않은 키를 생성할 수 있습니다.

시스템 설치 후

설치 후 시스템의 커널 공간 및 사용자 공간을 FIPS 모드로 전환하려면 다음 단계를 따르십시오.
  1. dracut-fips 패키지를 설치합니다.
    ~]# yum install dracut-fips
    AES(AES New Instructions)가 지원하는 CPU의 경우 dracut-fips-aesni 패키지를 설치하십시오.
    ~]# yum install dracut-fips-aesni
  2. initramfs 파일을 다시 생성합니다.
    ~]# dracut -v -f
    모듈 내 무결성 확인을 활성화하고 커널 부팅 중에 필요한 모든 모듈을 제공하려면 initramfs 파일을 다시 생성해야 합니다.
    주의
    이 작업은 기존 initramfs 파일을 덮어씁니다.
  3. 부트 로더 구성을 수정합니다.
    FIPS 모드로 부팅하려면 부트 로더의 커널 명령줄에 fips=1 옵션을 추가합니다. /boot 또는 /boot/EFI/ 파티션이 별도의 파티션에 있는 경우 boot= <partition >(여기서 < partition >은 /boot) 매개 변수를 커널 명령 줄에 추가하십시오.
    부팅 파티션을 확인하려면 다음 명령을 입력합니다.
    ~]$ df /boot
    Filesystem           1K-blocks      Used Available Use% Mounted on
    /dev/sda1               495844     53780    416464  12% /boot
    부팅 시 장치 이름 지정이 변경되어도 boot= 구성 옵션이 작동하는지 확인하려면 다음 명령을 실행하여 파티션의 범용 고유 식별자(UUID)를 식별합니다.
    ~]$ blkid /dev/sda1
    /dev/sda1: UUID="05c000f1-f899-467b-a4d9-d5ca4424c797" TYPE="ext4"
    커널 명령줄에 UUID를 추가합니다.
    boot=UUID=05c000f1-f899-467b-a4d9-d5ca4424c797
    부트 로더에 따라 다음과 같이 변경합니다.
    • GRUB 2
      /etc/default /grub 파일의 GRUB_CMDLINE_LINUX 키에 fips=1 및 boot=<partition of /boot> 옵션을 추가합니다. 변경 사항을 /etc/default/grub 에 적용하려면 다음과 같이 grub.cfg 파일을 다시 빌드합니다.
      • BIOS 기반 시스템에서 root 로 다음 명령을 입력합니다.
        ~]# grub2-mkconfig -o /etc/grub2.cfg
      • UEFI 기반 시스템에서 root 로 다음 명령을 입력합니다.
        ~]# grub2-mkconfig -o /etc/grub2-efi.cfg
    • zipl (IB z Systems 아키텍처에서만)
      fips=1boot=<partition of /boot > 옵션을 커널 명령행에 /etc/zipl.conf 에 추가하고 다음을 입력하여 변경 사항을 적용합니다.
      ~]# zipl
  4. 사전 연결이 비활성화되어 있는지 확인합니다.
    모듈 내 무결성 확인이 제대로 작동하려면 라이브러리 및 바이너리를 사전 링크해야 합니다. 사전 연결은 기본적으로 설치되지 않은 prelink 패키지로 수행됩니다. 사전 링크가 설치되지 않은 경우 이 단계는 필요하지 않습니다. 사전 링크를 비활성화하려면 /etc/sysconfig/prelink 설정 파일에서 PRELINKING=no 옵션을 설정합니다. 모든 시스템 파일에서 기존 사전 연결을 비활성화하려면 prelink -u -a 명령을 사용합니다.
  5. 시스템을 재부팅합니다.

컨테이너에서 FIPS 모드 활성화

호스트가 FIPS140-2 모드로 설정되어 있고 다음 요구 사항 중 하나가 충족되면 컨테이너는 FIPS140-2 모드로 전환할 수 있습니다.
  • dracut-fips 패키지는 컨테이너에 설치됩니다.
  • /etc/system-fips 파일은 호스트의 컨테이너에 마운트됩니다.
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.