Creación de un entorno de inicio con FIPS 140 activado

Idioma:

De manera predeterminada, el modo FIPS 140 está desactivado en Oracle Solaris. En este procedimiento, puede crear un nuevo entorno de inicio (BE) para el modo FIPS 140 y luego activar FIPS 140 en el nuevo entorno de inicio. Al ofrecerle un entorno de inicio de copia de seguridad, este método le permite recuperarse rápidamente de una situación crítica del sistema que puede surgir de pruebas de cumplimiento de FIPS 140.

Para obtener una descripción general sobre FIPS, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Consulte también la página del comando man cryptoadm(1M) y Estructura criptográfica y FIPS 140.

Cómo crear un entorno de inicio con FIPS 140 activado

Antes de empezar

Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

Determine si el sistema está en modo FIPS 140.

% cryptoadm list fips-140
User-level providers:
=====================
/usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled.

Kernel software providers:
==========================
des: FIPS-140 mode is disabled.
aes: FIPS-140 mode is disabled.
ecc: FIPS-140 mode is disabled.
sha1: FIPS-140 mode is disabled.
sha2: FIPS-140 mode is disabled.
rsa: FIPS-140 mode is disabled.
swrand: FIPS-140 mode is disabled.

Kernel hardware providers:
=========================:

Cree un nuevo entorno de inicio para su versión de FIPS 140 de la estructura criptográfica.
Antes de activar el modo FIPS 140, debe primero crear, activar e iniciar un nuevo entorno de inicio utilizando el comando beadm. Un sistema compatible con FIPS 140 ejecuta pruebas de cumplimiento que pueden mostrar un aviso grave en caso de error. Por lo tanto, es importante tener un entorno de inicio disponible que pueda iniciar para poner el sistema en funcionamiento mientras depura problemas con el límite FIPS 140.
1. Cree un entorno de inicio basado en el entorno de inicio actual.
  En este ejemplo, se crea un entorno de inicio denominado S11.1-FIPS.
```
# beadm create S11.1-FIPS-140
```
2. Active el entorno de inicio.
```
# beadm activate S11.1-FIPS-140
```
3. Reinicie el sistema.
4. Active el modo FIPS 140 en el nuevo entorno de inicio.
```
# cryptoadm enable fips-140
```
  Notas - Este subcomando no desactiva los algoritmos aprobados que no pertenecen a FIPS 140 de la biblioteca pkcs11_softtoken de nivel de usuario y de los proveedores de software de núcleo. Los consumidores de la estructura son responsables del uso de algoritmos aprobados por FIPS 140.
  Para obtener más información sobre los efectos del modo FIPS 140, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Consulte también la página del comando man cryptoadm(1M).

Cuando desee trabajar sin FIPS 140 activado, desactívelo.

Puede reiniciar el entorno de inicio original o desactivar FIPS 140 en el entorno de inicio actual.

Inicie el entorno de inicio original.

# beadm list
BE               Active Mountpoint Space   Policy Created
--               ------ ---------- -----   ------ -------
S11.1            -      -          48.22G   static 2012-10-10 10:10
S11.1-FIPS-140   NR     /          287.01M  static 2012-11-18 18:18
# beadm activate S11.1
# beadm list
BE               Active Mountpoint Space   Policy Created
--               ------ ---------- -----   ------ -------
S11.1            R      -          48.22G   static 2012-10-10 10:10
S11.1-FIPS-140   N      /          287.01M  static 2012-11-18 18:18
# reboot

Desactive el modo FIPS 140 en el entorno de inicio actual y reinicie el sistema.
```
# cryptoadm disable fips-140
```
El modo FIPS 140 permanece en funcionamiento hasta que se reinicie el sistema.
```
# reboot
```