我有 Ubuntu 12.04.5 LTS 服务器。我主要运行 SFTP 服务器 (OpenSSH_5.9)、Vsftpd 服务器 (vsFTPd 2.3.5) 和 IBM 消息队列。我的客户希望该服务器通过 FIPS 140-2 认证,但我对此了解有限。
我使用了一个名为 modutil 的实用程序,使用以下命令启用 FIPS。
mkdir -p /root/.pki/nssdb
certutil -N -d /root/.pki/nssdb
modutil -fips true -dbdir /root/.pki/nssdb
但我不认为这会在系统范围内启用 FIPS。我认为这将为位于 的特定 nssdb 启用 FIPS /root/.pki/nssdb。我需要至少我的 SSH 和 FTP 服务器符合 FIPS 规范。我该如何实现这一点?我知道 Red Hat 支持 FIPS,以下是他们的有关启用 FIPS 的文档
Ubuntu 是否支持类似的东西?
答案1
值得一提的是,自从这个问题发布以来,情况已经发生了变化(确切地一年前)。Canonical 现已宣布FIPS 适用于 Ubuntu 16.04。
以下是该公告中的几段简介:
我们很高兴地宣布,经官方认证的 FIPS 140-2 1 级加密包现已可供 Ubuntu Advantage Advanced 客户的 Ubuntu 16.04 LTS 使用,也可以作为独立的产品使用。
和
对 Ubuntu 16.04 上符合 FIPS 140-2 标准的模块感兴趣的用户可以在以下网址购买 Ubuntu Advantagehttps://buy.ubuntu.com/或联系 Canonical 销售团队。
如需更多信息,请访问https://www.ubuntu.com/security。
我还发现了安装页面。当然,正如提到的,它仅用于商业用途。
编辑:CentOS、RHEL 用户拥有 FIPS本地可用
答案2
上游项目 OpenSSH 并非开箱即用的 FIPS 140-2 兼容,OpenSSH 需要进行一些更改才能通过 Red Hat Enterprise Linux 认证。这些补丁均未包含在Ubuntu OpenSSH开箱即用,你无法使 Ubuntu 符合 FIPS 140-2 标准(无需重建和修改软件包的重要部分以及很可能还有内核)。
答案3
根据 NIST 网站, http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/1401val2017.htmUbuntu OpenSSL 加密模块于 2017 年 4 月 24 日通过 FIPS 验证。
该网站引用了以下安全政策文档:http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140sp/140sp2888.pdf。它描述了如何在 Ubuntu 上启用 FIPS 模式,因此您需要阅读此内容并按照说明进行操作。
有几件事要记住。文档说验证是在 16.04 LTS 上进行的,因此第一步是升级到该版本。
但在此之前,请确保你已获得所需的一切。文档还指出,对于 x86_64,你需要安装libssl1.0.0_1.0.2g-1ubuntu4.fips.4.6.2_amd64.deb - 我整天都在谷歌搜索,但我不知道在哪里可以找到它。