Oracle Solaris では、デフォルトでは FIPS 140 モードが無効になっています。この手順では、FIPS 140 モードのための新しいブート環境 (BE) を作成したあと、FIPS 140 を有効にして新しい BE にブートします。この方法を使用すると、バックアップ BE が提供されるため、FIPS 140 準拠テストによって発生する可能性のあるシステムパニックからすばやく回復できます。
FIPS の概要については、Using a FIPS 140 Enabled System in Oracle Solaris 11.2 を参照してください。また、cryptoadm(1M) のマニュアルページおよび 暗号化フレームワークおよび FIPS 140も参照してください。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.2 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。
% cryptoadm list fips-140 User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled. Kernel software providers: ========================== des: FIPS-140 mode is disabled. aes: FIPS-140 mode is disabled. ecc: FIPS-140 mode is disabled. sha1: FIPS-140 mode is disabled. sha2: FIPS-140 mode is disabled. rsa: FIPS-140 mode is disabled. swrand: FIPS-140 mode is disabled. Kernel hardware providers: =========================:
FIPS 140 モードを有効にする前に、まず beadm コマンドを使用して新しい BE を作成し、アクティブにしてから、ブートする必要があります。FIPS 140 が有効になったシステムでは、失敗した場合はパニックを引き起こす可能性のある準拠テストを実行します。そのため、FIPS 140 の境界に関する問題をデバッグしている間、ブートしてシステムを稼働状態にすることのできる使用可能な BE を確保しておくことが重要です。
この例では、S11.1-FIPS という名前の BE を作成します。
# beadm create S11.1-FIPS-140
# beadm activate S11.1-FIPS-140
# cryptoadm enable fips-140
FIPS 140 モードの影響の詳細は、Using a FIPS 140 Enabled System in Oracle Solaris 11.2 を参照してください。また、cryptoadm(1M) のマニュアルページも参照してください。
元の BE にリブートするか、または現在の BE で FIPS 140 を無効にできます。
# beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 - - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 NR / 287.01M static 2012-11-18 18:18 # beadm activate S11.1 # beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 R - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 N / 287.01M static 2012-11-18 18:18 # reboot
# cryptoadm disable fips-140
FIPS 140 モードは、システムがリブートされるまで動作を継続します。
# reboot