Par défaut, le mode FIPS 140 est désactivé dans Oracle Solaris. Au cours de cette procédure, vous créez un environnement d'initialisation (BE) pour le mode FIPS-140, puis activez FIPS 140 et initialisez dans le nouvel environnement. En vous offrant un environnement d'initialisation de sauvegarde, cette méthode vous permet d'effectuer rapidement une récupération après une panique du système pouvant résulter de tests de compatibilité FIPS 140.
Pour une présentation du mode FIPS, reportez-vous à la section Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Reportez-vous également à la page de manuel cryptoadm(1M) et à la rubrique Structure cryptographique et FIPS 140.
Avant de commencer
Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .
% cryptoadm list fips-140 User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled. Kernel software providers: ========================== des: FIPS-140 mode is disabled. aes: FIPS-140 mode is disabled. ecc: FIPS-140 mode is disabled. sha1: FIPS-140 mode is disabled. sha2: FIPS-140 mode is disabled. rsa: FIPS-140 mode is disabled. swrand: FIPS-140 mode is disabled. Kernel hardware providers: =========================:
Avant d'activer le mode FIPS 140, vous devez créer, activer et initialiser un nouvel environnement d'initialisation à l'aide de la commande beadm. Un système compatible FIPS-140 exécute des tests de conformité qui peuvent entraîner une panique en cas d'échec. Par conséquent, il est important de disposer d'un environnement d'initialisation que vous pouvez initialiser pour rétablir votre système pendant que vous résolvez les problèmes relatifs à la limite FIPS 140.
Dans cet exemple, vous créez un environnement d'initialisation nommé S11.1-FIPS.
# beadm create S11.1-FIPS-140
# beadm activate S11.1-FIPS-140
# cryptoadm enable fips-140
Pour plus d'informations sur les effets du mode FIPS 140, reportez-vous à la section Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Voir également la page de manuel cryptoadm(1M).
Vous pouvez effectuer une réinitialisation dans l'environnement d'initialisation d'origine ou désactiver FIPS 140 dans l'environnement d'initialisation actuel.
# beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 - - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 NR / 287.01M static 2012-11-18 18:18 # beadm activate S11.1 # beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 R - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 N / 287.01M static 2012-11-18 18:18 # reboot
# cryptoadm disable fips-140
Le mode FIPS 140 reste actif tant que le système n'a pas été réinitialisé.
# reboot