Eu tenho o servidor Ubuntu 12.04.5 LTS. Principalmente eu estou executando um servidor SFTP (OpenSSH_5.9), servidor Vsftpd (vsFTPd 2.3.5) e uma fila de mensagens IBM. Meu cliente deseja que este servidor seja certificado FIPS 140-2, sobre o qual eu tenho apenas um conhecimento limitado.
Eu usei um utilitário chamado modutil para habilitar o FIPS usando os comandos abaixo.
mkdir -p /root/.pki/nssdb
certutil -N -d /root/.pki/nssdb
modutil -fips true -dbdir /root/.pki/nssdb
Mas eu não acho que isso vai permitir que o sistema FIPS seja amplo. Acho que isso ativará o FIPS para esse nssdb específico localizado em /root/.pki/nssdb . Eu preciso de pelo menos meu SSH & amp; Servidor FTP para ser uma reclamação do FIPS. Como posso conseguir isso?
Eu sei que o Red Hat suporta FIPS e aqui está sua documentação sobre como ativar o FIPS
O Ubuntu suporta algo assim?
FWIW, as coisas mudaram desde que esta questão foi postada ( exatamente um ano atrás). A Canonical anunciou agora que o FIPS está disponível para Ubuntu 16.04 .
Um resumo do anúncio:
% bl0ck_qu0te%e
% bl0ck_qu0te%Também encontrei uma página sobre como instalar . Claro, como mencionado, é apenas comercial.
EDITAR: CentOS, os usuários do RHEL têm FIPS disponível nativamente
O projeto OpenSSH não é compatível com o FIPS 140-2 e há várias mudanças que precisam ser feitas no OpenSSH que o certificam no Red Hat Enterprise Linux. Nenhum desses patches está em Ubuntu OpenSSH tão fora da caixa, você não pode tornar compatível com o Ubuntu FIPS 140-2 (sem reconstruir e modificar parte significativa dos pacotes e provavelmente o kernel também).
De acordo com o site do NIST, link o módulo criptográfico Ubuntu OpenSSL foi validado pelo FIPS em 04/24 / 2017.
O site referencia um documento de política de segurança no link . Ele descreve como habilitar o modo FIPS no Ubuntu, então você precisaria ler isto e seguir as instruções.
Algumas coisas para manter em mente. O documento diz que a validação foi realizada no 16.04 LTS, então o primeiro passo seria atualizar para essa versão.
Mas antes disso, certifique-se de obter tudo o que precisa. O documento também afirma que, para x86_64, você precisa instalar o libssl1.0.0_1.0.2g-1ubuntu4.fips.4.6.2_amd64.deb - Estive pesquisando o dia todo e não tenho ideia de onde encontrá-lo.