第 8 章 在 bootc 镜像构建中启用 FIPS 模式

流程

1. 创建一个 01-fips.toml 来配置 FIPS 启用，例如：

   # Enable FIPS
   kargs = ["fips=1"]

   Copy to Clipboard Toggle word wrap

2. 使用以下说明创建 Containerfile，以启用 fips=1 内核参数并调整加密策略：

   FROM registry.redhat.io/rhel10/rhel-bootc:latest
   # Enable fips=1 kernel argument: https://bootc-dev.github.io/bootc/building/kernel-arguments.html
   COPY 01-fips.toml /usr/lib/bootc/kargs.d/
   # Install and enable the FIPS crypto policy
   RUN dnf install -y crypto-policies-scripts && update-crypto-policies --no-reload --set FIPS

   Copy to Clipboard Toggle word wrap

3. 使用当前目录中的 Containerfile 创建 bootc & lt;image> 兼容基本磁盘镜像：

   $ sudo podman run \
       --rm \
       -it \
       --privileged \
       --pull=newer \
       --security-opt label=type:unconfined_t \
       -v $(pwd)/config.toml:/config.toml:ro \
       -v $(pwd)/output:/output \
       -v /var/lib/containers/storage:/var/lib/containers/storage \
       registry.redhat.io/rhel10/bootc-image-builder:latest \
       --local
       --type qcow2 \
       --type iso \
       quay.io/<namespace>/<image>:<tag>

   Copy to Clipboard Toggle word wrap

4. 在系统安装过程中启用 FIPS 模式：

   1. 引导 RHEL Anaconda 安装程序时，在安装屏幕上，按 TAB 键并添加 fips=1 内核参数。

      安装后，系统会自动以 FIPS 模式启动。