Aktivieren Sie FIPS 140-2 in Ubuntu

6

Ich habe Ubuntu 12.04.5 LTS Server. Hauptsächlich verwende ich einen SFTP-Server (OpenSSH_5.9), einen Vsftpd-Server (vsFTPd 2.3.5) und eine IBM Message-Warteschlange. Mein Client möchte, dass dieser Server FIPS 140-2-zertifiziert ist, über die ich nur begrenzte Kenntnisse habe.

Ich habe ein Dienstprogramm namens modutil verwendet, um FIPS mit den folgenden Befehlen zu aktivieren.

mkdir -p /root/.pki/nssdb
certutil -N -d /root/.pki/nssdb
modutil -fips true -dbdir /root/.pki/nssdb

Ich glaube jedoch nicht, dass dies FIPS systemweit ermöglichen wird. Ich denke, dies wird FIPS für diese bestimmte nssdb aktivieren, die sich unter befindet /root/.pki/nssdb. Ich benötige mindestens meinen SSH- und FTP-Server , um eine FIPS-Beschwerde einzureichen. Wie kann ich das erreichen? Ich weiß, dass Red Hat FIPS unterstützt, und hier ist die Dokumentation zum Aktivieren von FIPS

Unterstützt Ubuntu so etwas?

12.04 openssh vsftpd Midhun Jose
quelle

Antworten:

7

FWIW, die Dinge haben sich geändert, seit diese Frage gestellt wurde ( genau vor einem Jahr). Canonical hat jetzt angekündigt, dass FIPS für Ubuntu 16.04 verfügbar ist .

Ein paar Klappentexte von dieser Ankündigung:

Wir freuen uns, Ihnen mitteilen zu können, dass offiziell zertifizierte kryptografische FIPS 140-2 Level 1-Pakete jetzt für Ubuntu 16.04 LTS für Ubuntu Advantage Advanced-Kunden und als separates, eigenständiges Produkt verfügbar sind.

und

Benutzer, die an FIPS 140-2-kompatiblen Modulen unter Ubuntu 16.04 interessiert sind, können Ubuntu Advantage unter https://buy.ubuntu.com/ oder beim Canonical Sales Team erwerben .

Weitere Informationen finden Sie unter https://www.ubuntu.com/security .

Ich habe auch eine Seite zur Installation gefunden . Natürlich ist es, wie erwähnt, nur kommerziell.

BEARBEITEN: CentOS, RHEL-Benutzer haben FIPS nativ verfügbar

dpb
quelle
Bitte schreiben Sie einen Artikel über die Einrichtung der FIPS 140-2-kompatiblen Datei in unterstütztem Ubuntu. Bitte verwenden Sie Virtual Box, damit Sie Screenshot teilen können
1
Installationsanweisungen hinzugefügt. Wie bereits erwähnt, ist es nur kommerziell, daher habe ich keine Screenshots. Übrigens, ich möchte Anweisungen hier nicht wie gewohnt kopieren und einfügen, da ich davon ausgehe, dass sie sich ändern werden und nicht wirklich machbar sind, ohne ohnehin Kunde zu sein.
dpb
Vielen Dank, ich werde diese Antwort an alle Fragen / Antworten zu FIPS 140-2 weitergeben. Ich habe bemerkt, dass viele Leute nicht wissen, was es überhaupt ist, viele Verwirrungen da draußen.
Bedeutet die Lizenz dieses Open-Source-Pakets nicht, dass Sie, sobald Sie etwas Abgeleitetes veröffentlichen / verkaufen, Quellcode bereitstellen müssen? Da die FIPS-Pakete nicht für alle verfügbar sind, habe ich auch den Quellcode nicht gesehen, was faul klingt.
Jakuje
Personen, die Zugriff auf die Binärdateien haben, haben auch Zugriff auf die Quelle. Sie sind reguläre Ubuntu-Quellpakete.
dpb
0

Das Upstream-Projekt OpenSSH ist nicht sofort FIPS 140-2-konform und es müssen einige Änderungen in OpenSSH vorgenommen werden, die es für Red Hat Enterprise Linux zertifizieren. Keiner dieser Patches ist in Ubuntu OpenSSH enthalten, sodass Sie Ubuntu FIPS 140-2 nicht sofort kompatibel machen können (ohne einen wesentlichen Teil der Pakete und höchstwahrscheinlich auch den Kernel neu zu erstellen und zu ändern).

Jakuje
quelle
Es scheint, dass Sie richtig sind. Aus dem Wikipedia-Vergleich en.wikipedia.org/wiki/Comparison_of_SSH_servers geht hervor , dass ich mich für einen anderen SSH-Server entscheiden muss. Haben Sie eine Idee zu VSFTPD? Wenn ich ssh, ftp überspringe und nur einen einfachen FIPS-Beschwerde-Linux-Server benötige, ist Redhat die einzige Option?
Midhun Jose
Ich glaube nicht, dass es funktionieren würde. Die FIPS-Unterstützung wird auf der gesamten Betriebssystemebene benötigt. Wenn Sie nur einen Teil davon fortsetzen, wird das gesamte System niemals FIPS-konform sein und die gesamte Sicherheit wird durch die Sicherheit des schwächsten Punkts in der Kette definiert.
Jakuje
Es gibt auch andere Anbieter, die FIPS-Beschwerde-Betriebssysteme anbieten.
Jakuje
Das Standard-Ubuntu 16.04 ist nur FIPS-1-zertifiziert. Sie müssen für FIPS-2 bezahlen.
Doug
0

Laut der NIST-Website http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2017.htm wurde das Ubuntu OpenSSL Cryptographic Module am 24.04.2017 FIPS-validiert.

Die Website verweist auf ein Sicherheitsrichtliniendokument unter http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2888.pdf . Es wird beschrieben, wie Sie den FIPS-Modus unter Ubuntu aktivieren, damit Sie dies lesen und den Anweisungen folgen müssen.

Ein paar Dinge zu beachten. Das Dokument besagt, dass die Validierung am 16.04 LTS durchgeführt wurde. Der erste Schritt wäre also ein Upgrade auf diese Version.

Aber bevor Sie das tun, stellen Sie sicher, dass Sie alles andere bekommen, was Sie brauchen. Das Dokument besagt auch, dass Sie für x86_64 libssl1.0.0_1.0.2g-1ubuntu4.fips.4.6.2_amd64.deb installieren müssen. Ich habe den ganzen Tag gegoogelt und weiß nicht, wo ich es finden kann.

Guido Simone
quelle
Es heißt "Um die FIPS-validierte Version des Moduls herunterzuladen, wenden Sie sich bitte an den Canonical-Vertreter, um den Repository-Pfad zu erhalten." Ich nehme an, deshalb können Sie ihn nicht googeln.
Teilen Sie den