Oracle Solaris では、デフォルトでは FIPS 140-2 モードが無効になっています。この手順では、FIPS 140-2 モードのための新しいブート環境 (BE) を作成したあと、FIPS 140-2 を有効にして新しい BE にブートします。
FIPS 140-2 が有効になったシステムでは、失敗した場合はパニックを引き起こす可能性のある準拠テストを実行します。そのため、FIPS 140-2 の境界に関する問題をデバッグしている間、ブートできる使用可能な BE を確保しておくことが重要です。
FIPS 140-2 の概要については、Oracle Solaris 11.3 での FIPS 140-2 対応システムの使用を参照してください。また、暗号化フレームワークと FIPS 140-2および cryptoadm(1M) のマニュアルページも参照してください。
始める前に
root 役割になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
$ cryptoadm list fips-140 User-level providers: ===================== /usr/lib/security/$ISA/pkcs11_softtoken: FIPS 140 mode is disabled. Kernel software providers: ========================== des: FIPS 140 mode is disabled. aes: FIPS 140 mode is disabled. ecc: FIPS 140 mode is disabled. sha1: FIPS 140 mode is disabled. sha2: FIPS 140 mode is disabled. rsa: FIPS 140 mode is disabled. swrand: FIPS 140 mode is disabled. Kernel hardware providers: =========================:
FIPS 140-2 モードを有効にする前に、まず beadm コマンドを使用して新しい BE を作成し、アクティブにしてから、ブートする必要があります。
この例では、S11.3-FIPS という名前の BE を作成します。
# beadm create S11.3-FIPS-140
# beadm activate S11.3-FIPS-140
# cryptoadm enable fips-140
FIPS 140-2 モードの影響の詳細については、Oracle Solaris 11.3 での FIPS 140-2 対応システムの使用および cryptoadm(1M) のマニュアルページを参照してください。
FIPS 140-2 を有効にしないで実行するには、次の 2 つのオプションがあります。
# beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.3 - - 48.22G static 2012-10-10 10:10 S11.3-FIPS-140 NR / 287.01M static 2012-11-18 18:18 # beadm activate S11.1 # beadm list BE Active Mountpoint Space Policy Created -- ------ ---------- ----- ------ ------- S11.3 R - 48.22G static 2012-10-10 10:10 S11.3-FIPS-140 N / 287.01M static 2012-11-18 18:18 # reboot
# cryptoadm disable fips-140
# reboot