Activer le mode FIPS sur AL2 - Amazon Linux 2

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Activer le mode FIPS sur AL2

Cette section explique comment activer les normes fédérales de traitement de l'information (FIPS) sur AL2. Pour plus d'informations sur FIPS, consultez les références suivantes :

Conditions préalables

  • Une EC2 instance AL2 Amazon existante avec accès à Internet pour télécharger les packages requis. Pour plus d'informations sur le lancement d'une EC2 instance AL2 Amazon, consultezAL2 sur Amazon EC2.

  • Vous devez vous connecter à votre EC2 instance Amazon via SSH ouAWS Systems Manager.

Important

ED25519 Les clés utilisateur SSH ne sont pas prises en charge en mode FIPS. Si vous avez lancé votre EC2 instance Amazon à l'aide d'une paire de clés ED25519 SSH, vous devez générer de nouvelles clés à l'aide d'un autre algorithme (tel que RSA) ou vous risquez de perdre l'accès à votre instance après avoir activé le mode FIPS. Pour plus d'informations, consultez la section Créer des paires de clés dans le guide de EC2 l'utilisateur Amazon.

Activation du mode FIPS

  1. Connectez-vous à votre AL2 instance via SSH ouAWS Systems Manager.

  2. Assurez-vous que le système est à jour. Pour de plus amples informations, veuillez consulter Référentiel de packages.

  3. Installez et activez le dracut-fips module en exécutant les commandes suivantes.

    sudo yum -y install dracut-fips
sudo dracut -f

  4. Activez le mode FIPS sur la ligne de commande du noyau Linux à l'aide de la commande suivante. Cela permettra d'activer le mode FIPS à l'échelle du système pour les modules répertoriés dans la FAQ AL2 

    sudo /sbin/grubby --update-kernel=ALL --args="fips=1"

  5. Redémarrez votre AL2 instance.

    sudo reboot

  6. Pour vérifier que le mode FIPS est activé, reconnectez-vous à l'instance et exécutez la commande suivante.

    sysctl crypto.fips_enabled

    Vous devriez voir la sortie suivante :

    crypto.fips_enabled = 1

    Vous pouvez également vérifier qu'OpenSSH est en mode FIPS en exécutant la commande suivante :

    ssh localhost 2>&1 | grep FIPS

    Vous devriez voir la sortie suivante :

    FIPS mode initialized