Activer FIPS 140-2 dans Ubuntu
J'ai le serveur Ubuntu 12.04.5 LTS. J'utilise principalement un serveur SFTP (OpenSSH_5.9), un serveur Vsftpd (vsFTPd 2.3.5) et une file d'attente de messages IBM. Mon client souhaite que ce serveur soit FIPS 140-2 certifié, pour lequel je n’ai qu’une connaissance limitée.
J'ai utilisé un utilitaire appelé modutil pour activer FIPS à l'aide des commandes ci-dessous.
mkdir -p /root/.pki/nssdb
certutil -N -d /root/.pki/nssdb
modutil -fips true -dbdir /root/.pki/nssdb
Mais je ne pense pas que cela permettra FIPS à l’échelle du système. Je pense que cela activera FIPS pour cette nssdb particulière située à /root/.pki/nssdb. J'ai besoin d’au moins mon serveur SSH & FTP pour être FIPS réclamation. Comment puis-je atteindre cet objectif? Je sais que Red Hat prend en charge FIPS et voici leur documentation sur l'activation de FIPS
Ubuntu prend-il en charge quelque chose comme ça?
FWIW, les choses ont changé depuis que cette question a été postée ( exactement il y a un an). Canonical a maintenant annoncé FIPS est disponible pour Ubuntu 16.04 .
Quelques propos de cette annonce:
Nous avons le plaisir de vous annoncer que des packages cryptographiques certifiés FIPS 140-2 de niveau 1 et certifiés officiellement sont désormais disponibles pour Ubuntu 16.04 LTS pour les clients Ubuntu Advantage Advanced et en tant que produit autonome et séparé.
et
Les utilisateurs intéressés par les modules compatibles FIPS 140-2 sur Ubuntu 16.04 peuvent acheter Ubuntu Advantage à l'adresse https://buy.ubuntu.com/ ou en contactant l'équipe de vente Canonical.
Pour plus d'informations, consultez la page https://www.ubuntu.com/security .
J'ai aussi trouvé un page sur la façon d'installer . Bien sûr, comme mentionné, c'est uniquement commercial.
EDIT: CentOS, les utilisateurs de RHEL ont FIPS disponible nativement
Le projet en amont OpenSSH n'est pas conforme à la norme FIPS 140-2 et plusieurs modifications doivent être apportées à OpenSSH pour le certifier dans Red Hat Enterprise Linux. Aucun de ces correctifs ne se trouve dans buntu OpenSSH , vous ne pouvez donc pas rendre Ubuntu FIPS 140-2 conforme (sans reconstruire ni modifier une partie importante des paquetages et très probablement aussi du noyau).
Selon le site Web du NIST, http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2017.htm le module de cryptographie Ubuntu OpenSSL était FIPS validée le 24/04/2017.
Le site Web fait référence à un document de politique de sécurité sur le site http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2888.pdf . Il décrit comment activer le mode FIPS sur Ubuntu afin que vous deviez le lire et suivre les instructions.
Quelques points à garder à l'esprit. Le document indique que la validation a été effectuée sur 16.04 LTS. La première étape consiste donc à effectuer la mise à niveau vers cette version.
Mais avant de faire cela, assurez-vous d’obtenir tout ce dont vous avez besoin. La doc indique également que pour x86_64, vous devez installer libssl1.0.0_1.0.2g-1ubuntu4.fips.4.6.2_AMD64.deb - J'ai été googler toute la journée et je ne sais pas où le trouver.