使用符合 FIPS 的加密方式对整个驱动器进行加密

使用符合 FIPS 的加密方式对整个驱动器进行加密

我想在 CentOS 上使用符合 FIPS 的加密来加密我的交换区、根目录和主目录。

根据下面的 RedHat 链接,我应该能够“在系统安装期间将 fips=1 内核选项添加到内核命令行”。我尝试在安装菜单中启用 LUKS 加密来执行此操作,但当我执行此操作时,系统将无法启动。由于我的/boot是不同的分区,我boot=<partition of boot>也尝试添加到内核,这也阻止了系统启动。

预期的行为是,首次启动时,整个驱动器上会进行合规加密,并启用 fips。我是否需要在首次启动之前安装 dracut-fips,以便重新生成 initramfs?或者还有其他步骤吗?

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/security_guide/chap-federal_standards_and_regulations

其他指南和解决方案提到安装操作系统、启用 fips,然后加密文件系统,但我不相信我可以做到这一点并加密整个驱动器。

http://geekswing.com/geek/how-to-encrypt-a-filesystem-on-redhat-6-4centos-6-4-linux-fips-or-no-fips/

有没有办法可以更改 LUKS 设置以使用符合 fips 的算法,然后在安装后在驱动器加密时启用 fips?或者有没有办法安装、启用 fips 并加密整个驱动器,同时保持 fips 设置?

我是 Linux 的日常用户,但绝不是专家。很感谢任何形式的帮助。 FIPS 合规性目前是一项业务要求,我们不需要获得 FIPS 认证。

相关内容