このドキュメントで説明するソフトウェアは、Extended SupportまたはSustaining Supportのいずれかにあります。 詳細は、https://www.oracle.com/us/support/library/enterprise-linux-support-policies-069172.pdfを参照してください。
Oracleでは、このドキュメントに記載されているソフトウェアをできるだけ早くアップグレードすることをお薦めします。
FIPS検証済みの暗号化モジュールを使用する前に、Oracle LinuxでFIPSモードを有効にする必要があります。 次の手順では、FIPSで検証された暗号アルゴリズムのみを使用するようにOracle Linuxを構成する方法について説明します。
インストールするFIPSモジュールのタイプに応じて、次のいずれかを実行します:
Oracle LinuxのFIPS検証済み暗号化モジュールをインストールする場合は、システムがOracle Linux 6 Update 9以降を実行していることを確認してください。
OpenSSL FIPSオブジェクト・モジュールをインストールする場合は、システムがOracle Linux 6更新5以降であることを確認してください。
システムがUnbreakable Linux Network (ULN)に登録され、
ol6_x86_64_security_validation
およびol6_x86_64_latest
チャネルにサブスクライブされていることを確認します。Oracle Linux yumサーバーを使用している場合は、次のように
ol6_security_validation
およびol6_latest
リポジトリを有効にします:#
yum-config-manager --enable ol6_security_validation ol6_latest
dracut-fips
パッケージをインストールします。#
yum install dracut-fips
dracut-fips
パッケージは、整合性チェックを実行するdracutinitramfs
ファイル・システムを構築するモジュールを提供します。システムCPUがAES新しい命令(AES-NI)をサポートしている場合は、パッケージをインストールします。
次のコマンドを実行して、システムがAES-NIをサポートしているかどうかを確認します:
#
grep aes /proc/cpuinfo
パッケージをインストールするには:
#
yum install dracut-fips-aesni
initramfs
ファイル・システムを再作成します。#
dracut -f
システムがFIPSモードで起動するように、
grub.conf
ファイルでkernel
コマンドラインを構成するには、次のステップを実行します:ブート・パーティションとそのパーティションのUUIDを指定します。たとえば、次のようになります:
#
df /boot
Filesystem 1K-blocks Used Available Use% Mounted on /dev/sda1 508588 294476 214112 58% /boot #blkid /dev/sda1
/dev/sda1: UUID="a305c68f-3e04-4c53-a566-9d67c12ff293" TYPE="xfs"root
ユーザーとして、次のように/etc/grub.conf
ファイルを編集します:fips=1
オプションをブート・ローダー構成に追加します。GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sun16 rd.lvm.lv=ol/swap rd.lvm.lv=ol/root crashkernel=auto vconsole.keymap=uk rhgb quiet fips=1"
/boot
のコンテンツがルート・パーティション以外のパーティションに存在する場合は、boot=UUID=
行を使用してブート・ローダー構成に移動し、カーネルがロードするときにboot_UUID
/boot
にデバイスをマウントするように指定する必要があります。GRUB_CMDLINE_LINUX="vconsole.font=latarcyrheb-sun16 rd.lvm.lv=ol/swap rd.lvm.lv=ol/root crashkernel=auto vconsole.keymap=uk rhgb quiet boot=UUID=6046308a-75fc-418e-b284-72d8bfad34ba fips=1"
変更を保存します。
FIPSがカーネル検証チェックを実行するには、これらのステップが必要です。このステップでは、
/boot
ディレクトリにある指定されたHMACファイルに対してカーネルを検証します。ノートUEFIで起動するように構成されたシステムでは、
/boot/efi
は専用のパーティションに配置されます。具体的にはUEFI要件を満たすようにフォーマットされ、自動的に/boot
が専用パーティションにあることを意味するわけではありません。/boot
が専用パーティションにある場合にのみ、boot=
パラメータを使用します。 パラメータの指定が間違っているか、存在しないデバイスを示している場合、システムがブートしない可能性があります。システムが起動できなくなった場合、grubのカーネル・ブート・オプションを変更して、
boot=UUID=
パラメータに代替デバイスを指定したり、パラメータを完全に削除したりできます。boot_UUID
次のようにGRUB構成を再構築します:
BIOSベースのシステムでは、次のコマンドを実行します:
#
grub2-mkconfig -o /boot/grub2/grub.cfg
UEFIベースのシステムでは、次のコマンドを実行します:
#
grub2-mkconfig -o /boot/efi/EFI/redhat/grub.cfg
モジュール内の完全性検証が正しく行われるようにするには、すべてのシステム・ファイルで事前リンクを無効にする必要があります。
デフォルトでは、
prelink
パッケージはシステムにインストールされていません。 ただし、インストールされている場合は、次のようにすべてのライブラリおよびバイナリで事前リンクを無効にします:/etc/sysconfig/prelink
構成ファイルにPRELINKING=no
を設定します。ライブラリがすでにリンクされている場合は、次のようにすべてのシステム・ファイルのprelinkを元に戻します:
#
prelink –u -a
システムを再起動してから、次のコマンドを実行して、FIPSが有効になっていることを確認します:
#
cat /proc/sys/crypto/fips_enabled
11
のレスポンスは、FIPSが有効であることを示します。