在具有 4.X 内核的 RHEL 7.5 上,FIPS 完整性测试失败

在具有 4.X 内核的 RHEL 7.5 上,FIPS 完整性测试失败

我有一台配备 Intel NVME P4500/P4510 NVME 驱动器的 Dell PowerEdge R7425。

在 3.10 内核上,NVME 驱动器非常频繁地抛出 I/O 错误,这些错误已经导致系统停止一次。

我决定从 elrepo 测试一个更新的内核,这似乎完全解决了 NVME 错误。

但是,内核仅在设置“fips=0”时才会启动,这对我的组织来说是不可接受的。

当在内核选项中使用“fips=1”启动时,系统未通过 FIPS 完整性测试。

在系统停止之前,控制台上会显示以下内容:

alg:skcipher:无法加载 ecb 的转换(cast5):-2

对于以下内容也会显示相同的 skcipher 消息:

CBC、CTR、PCBC

此外,还会显示以下消息:

alg:哈希:无法加载 tgr192 的转换:-2

以下内容也会显示相同的哈希消息:

tgr160、tgr128、sha3-224、sha3-256、sha3-384、sha3-512、sm3、xcbc、vmac64 和 hmac。

最后显示如下:

tcrypt:一项或多项测试失败!

dracut:致命:FIPS 完整性测试失败

dracut: 拒绝继续

这已经使用以下内核进行了测试:

4.4.169-1.el7.elrepo.x86_64

4.19.12-1.el7.elrepo.x86_64

安装了以下 dracut 和 fips 的 RPM:

dracut-network-033-535.el7.x86_64

dracut-fips-033-535.el7.x86_64

dracut-config-rescue-033-535.el7.x86_64

dracut-033-535.el7.x86_64

fipscheck-lib-1.4.1-6.el7.x86_64

fipscheck-1.4.1-6.el7.x86_64

以下内容位于 /etc/dracut.conf 中:

省略_dracutmodules+="systemd"

add_dracutmodules+=“fips”

相关内容