Além de SSL/TLS
, OpenSSL
fornece bibliotecas de criptografia de uso geral. No contexto, FIPS-mode
simplesmente remove o acesso a todos os algoritmos que não foram aprovados por NIST
. Se em FIPS mode
, o seguinte comando deverá falhar.
openssl md5 filename
No sistema RedHat, pelo menos, também é possível encontrar o status do modo FIPS
no sistema de arquivos proc
.
cat /proc/sys/crypto/fips_enabled
O resultado do comando produz 0
( FIPS
não está ativado.) ou 1
( FIPS
está ativado.).
É possível que seja necessário gerar novamente certificados para os servidores da Web depois de inserir o modo FIPS
? Talvez.
O requisito FIPS-mode
também é uma pequena parte da aplicação de STIG
? Existe um site muito conveniente para visualizar os requisitos de STIG
. O RHEL6 STIG
está disponível em stigviewer.com . Incluído nos requisitos estão os comandos para aplicar e verificar as configurações. É bem fácil de fazer. A fonte oficial é um pouco mais difícil de usar, mas um RHEL7 STIG
existe lá. As STIGs
das fontes oficiais são produzidas em XML e devem ser visualizadas com "STIG Viewer Version 2.7", que pode ser encontrado na lista de STIGs
.
Atualização : o RHTI7 STIG está agora disponível em stigviewer.com .
Faça o melhor que puder e deixe que o Responsável pela Garantia da Informação lhe diga o que mais precisa ser feito. Além disso, pode-se optar por aplicar a versão de rascunho do RHEL7 STIG
no momento da instalação, escolhendo uma política de segurança, conforme ilustrado abaixo. Esta política faz algum do "trabalho pesado" na configuração STIG
, mas ainda é necessário verificar se todas as configurações STIG
foram aplicadas.
Existem também outros STIGs aplicáveis, um para o servidor da Web e outro para o aplicativo da Web. Um banco de dados STIG também pode ser aplicado.