CentOS 7 上 Apache 和 Haproxy 的 FIPS 140-2 合規性

我有 CentOS 7 和 Apache 以及支持 SSL 的 Haproxy 負載平衡器。如何使伺服器符合 FIPS 140-2？

來自第 10 章。聯邦標準和法規 | redhat.com 我得到了以下說明：

/etc/sysconfig/prelink
PRELINKING=no

# yum install dracut-fips
# dracut -f
fips=1

$ df /boot
Filesystem           1K-blocks      Used Available Use% Mounted on
/dev/sda1               495844     53780    416464  12% /boot

boot=/dev/sda1

/etc/ssh/sshd_config
Protocol 2
Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
Macs hmac-sha1,hmac-sha2-256,hmac-sha2-512

這足以使我的 HTTPS 服務符合 FIPS 140-2 標準嗎？

此外SSL/TLS，OpenSSL還提供通用加密庫。在上下文中，FIPS-mode僅刪除對所有未經批准的算法的訪問NIST。如果在 中FIPS mode，則以下命令應該失敗。

openssl md5 filename

至少在 RedHat 系統上，還可以在文件系統中找到FIPSmode的狀態。proc

cat /proc/sys/crypto/fips_enabled

該命令的結果產生0（FIPS未啟用。）或1（FIPS已啟用。）。

FIPS進入模式後是否可能需要為 Web 伺服器重新生成證書？也許。

FIPS-mode要求也是申請的一小部分嗎STIG？有一個非常方便的網站來查看STIG需求。可RHEL6 STIG在stigviewer.com 獲得。要求中包括應用和驗證設置的命令。這很容易做到。官方來源有點難以使用，但那裡RHEL7 STIG確實存在。來自STIGs官方來源的文件以 XML 格式生成，預計將使用“STIG Viewer Version 2.7”查看，該文件可在STIGs.

更新： RHEL7 STIG 現已在stigviewer.com上提供。

盡你所能，然後讓資訊保障官告訴你還需要做什麼。此外，可以RHEL7 STIG通過選擇安全策略來選擇在安裝時應用草稿版本，如下圖所示。此策略在配置中完成了一些“繁重的工作” STIG，但仍需要驗證是否STIG已應用所有設置。

還有其他適用的 STIG，一種用於 Web 伺服器，一種用於 Web 應用程序。數據庫 STIG 也可能適用。

引用自：https://unix.stackexchange.com/questions/437443