기본적으로 FIPS 140 모드는 Oracle Solaris에서 사용 안함으로 설정됩니다. 이 절차에서는 FIPS 140 모드에 대해 새로운 BE(부트 환경)를 만든 후 FIPS 140을 사용으로 설정하고 새 BE로 부트합니다. 백업 BE가 주어진 경우 이 방식을 사용하면 FIPS 140 준수 테스트로부터 발생할 수 있는 시스템 패닉을 빠르게 복구할 수 있습니다.
FIPS에 대한 개요는 Using a FIPS 140 Enabled System in Oracle Solaris 11.2 을 참조하십시오. 또한 cryptoadm(1M) 매뉴얼 페이지와 암호화 프레임워크 및 FIPS 140을 참조하십시오.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
% cryptoadm list fips-140 User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_softtoken: FIPS-140 mode is disabled. Kernel software providers: ========================== des: FIPS-140 mode is disabled. aes: FIPS-140 mode is disabled. ecc: FIPS-140 mode is disabled. sha1: FIPS-140 mode is disabled. sha2: FIPS-140 mode is disabled. rsa: FIPS-140 mode is disabled. swrand: FIPS-140 mode is disabled. Kernel hardware providers: =========================:
FIPS 140 모드를 사용으로 설정하기 전에 beadm 명령을 사용하여 새 BE를 만들고, 활성화하고, 부트해야 합니다. FIPS 140 지원 시스템은 실패할 경우 패닉을 일으킬 수 있는 준수 테스트를 실행합니다. 따라서 FIPS 140 경계 문제를 디버그할 때 시스템을 작동 및 실행하기 위해 부트할 수 있는 사용 가능한 BE가 있어야 합니다.
이 예에서는 S11.1-FIPS라는 이름의 BE를 만듭니다.
# beadm create S11.1-FIPS-140
# beadm activate S11.1-FIPS-140
# cryptoadm enable fips-140
FIPS 140 모드의 영향에 대한 자세한 내용은 Using a FIPS 140 Enabled System in Oracle Solaris 11.2 을 참조하십시오. 또한 cryptoadm(1M) 매뉴얼 페이지를 참조하십시오.
원래 BE로 재부트하거나 현재 BE에서 FIPS 140을 사용 안함으로 설정합니다.
# beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 - - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 NR / 287.01M static 2012-11-18 18:18 # beadm activate S11.1 # beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.1 R - 48.22G static 2012-10-10 10:10 S11.1-FIPS-140 N / 287.01M static 2012-11-18 18:18 # reboot
# cryptoadm disable fips-140
FIPS 140 모드는 시스템이 재부트될 때까지 작동 상태로 유지됩니다.
# reboot