CentOS 7のApacheとHaproxyのFIPS 140-2準拠[閉じる]

tag-icon tag-icon centos apache-httpd openssl cryptography haproxy
CentOS 7のApacheとHaproxyのFIPS 140-2準拠[閉じる]

SSLをサポートするCentOS 7、Apache、およびHaproxyロードバランサーを持っています。サーバーをFIPS 140-2と互換性を持たせるには?

~から第10章:連邦標準と規制Red Hat Webサイト| 私は次のような指示を受けました。

/etc/sysconfig/prelink
PRELINKING=no

# yum install dracut-fips
# dracut -f
fips=1

$ df /boot
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/sda1               495844     53780    416464  12% /boot

boot=/dev/sda1

/etc/ssh/sshd_config
Protocol 2
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
Macs hmac-sha1,hmac-sha2-256,hmac-sha2-512

これは私のHTTPSサービスFIPS 140-2に準拠するのに十分ですか?

ベストアンサー1

SSL/TLSこれに加えて、OpenSSL一般的な暗号化ライブラリも提供されます。状況に応じて、FIPS-mode承認されていないすべてのアルゴリズムへのアクセスを削除するだけですNIST。この場合、FIPS mode次のコマンドは失敗します。

openssl md5 filename

少なくともRedHatシステムでは、FIPSモードステータスはファイルシステムでも見つけることができますproc

cat /proc/sys/crypto/fips_enabled

このコマンドの結果は、0(FIPS有効ではない)または1(FIPS有効)を生成します.

FIPSモードに入った後、Webサーバーの証明書を再生成する必要がありますか?おそらく。

このFIPS-mode要件もアプリケーションの小さな部分ですかSTIG?要件を確認するのに非常に便利なウェブサイトがありますSTIGRHEL6 STIG許容可能stigviewer.com。要件には、設定を適用して確認するコマンドが含まれます。これは簡単です。これ公式ソース使用するのは少し難しいですが、RHEL7 STIGそこにあります。公式ソースのファイルはSTIGsXML形式で生成され、で利用可能な「STIGビューアバージョン2.7」を使用して表示できますSTIGs

修正する:これでRHEL7 STIGを使用できるようになりました。stigviewer.com

最善を尽くしてから、情報保証担当者に何をすべきか教えてください。また、RHEL7 STIG以下のようにセキュリティポリシーを選択して、インストール時にドラフトバージョンを適用することを選択できます。この方針は一部構成の「重い作業」STIGですが、まだSTIGすべての設定が適用されていることを確認する必要があります。

CentOS7セキュリティポリシーの選択

利用可能な他のSTIGもあります。 1つはWebサーバー用、もう1つはWebアプリケーション用です。データベースSTIGも適しています。

おすすめ記事