因为某些原因,https://ubuntu.com/blog/running-fips-140-workloads-on-ubuntu在启用 fips 部分指示执行“ua enable fips-updates”而不是 ua enable fips,现在我的系统不兼容。原因是合规性脚本在 /proc/sys/crypto 中查找名为 fips_enabled 的文件,其中变量“fips”设置为 1。启用/安装 fips 会自动为您执行此操作,但启用 fips-updates 不会。
我尝试过的一些方法。在 GRUB_CMDLINE_LINUX_DEFAULT 中的 /etc/default/grub 中设置 fips=1 禁用 fips-updates,卸载 ua,重新安装 ua,然后尝试启用 fips,但系统检测到 fips-updates 之前在系统上是允许的,因此无法启用 fips。
答案1
当使用 UA 客户端启用 FIPS 时,fips将获得 FIPS 认证,并且fips-updates符合 FIPS 标准。
唉,一旦你从fips到fips-updates就不能再回到 了fips。这是一条单程路程。
FIPS 认证和 FIPS 兼容之间的区别在于,它fips-updates具有安全修补的好处,甚至支持通过 Livepatch 进行实时内核修补。
如果您需要审核您的车队以确定哪些地方应用了哪些 FIPS 配置,您可以使用 Landscape 大规模审计 UA 客户端 FIPS 配置