De manera predeterminada, el modo FIPS 140 está desactivado en Oracle Solaris. En este procedimiento, puede crear un nuevo entorno de inicio (BE) para el modo FIPS 140 y luego activar FIPS 140 en el nuevo entorno de inicio. Al ofrecerle un entorno de inicio de copia de seguridad, este método le permite recuperarse rápidamente de una situación crítica del sistema que puede surgir de pruebas de cumplimiento de FIPS 140.
Para obtener una descripción general sobre FIPS, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Consulte también la página del comando man cryptoadm(1M) y Estructura criptográfica y FIPS 140.
Antes de empezar
Debe asumir el rol root. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
% cryptoadm list fips-140 User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled. Kernel software providers: ========================== des: FIPS-140 mode is disabled. aes: FIPS-140 mode is disabled. ecc: FIPS-140 mode is disabled. sha1: FIPS-140 mode is disabled. sha2: FIPS-140 mode is disabled. rsa: FIPS-140 mode is disabled. swrand: FIPS-140 mode is disabled. Kernel hardware providers: =========================:
Antes de activar el modo FIPS 140, debe primero crear, activar e iniciar un nuevo entorno de inicio utilizando el comando beadm. Un sistema compatible con FIPS 140 ejecuta pruebas de cumplimiento que pueden mostrar un aviso grave en caso de error. Por lo tanto, es importante tener un entorno de inicio disponible que pueda iniciar para poner el sistema en funcionamiento mientras depura problemas con el límite FIPS 140.
En este ejemplo, se crea un entorno de inicio denominado S11.1-FIPS.
# beadm create S11.1-FIPS-140
# beadm activate S11.1-FIPS-140
# cryptoadm enable fips-140
Para obtener más información sobre los efectos del modo FIPS 140, consulte Using a FIPS 140 Enabled System in Oracle Solaris 11.2 . Consulte también la página del comando man cryptoadm(1M).
Puede reiniciar el entorno de inicio original o desactivar FIPS 140 en el entorno de inicio actual.
# beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 - - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 NR / 287.01M static 2012-11-18 18:18 # beadm activate S11.1 # beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 R - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 N / 287.01M static 2012-11-18 18:18 # reboot
# cryptoadm disable fips-140
El modo FIPS 140 permanece en funcionamiento hasta que se reinicie el sistema.
# reboot