AL2023 컨테이너에서 FIPS 모드 활성화

AL2023 컨테이너에서 FIPS 모드 활성화

1. FIPS 모드는 먼저 AL2023 컨테이너 호스트에서 활성화해야 합니다. AL2023에서 FIPS 모드 활성화의 지침에 따라 호스트에서 FIPS 모드를 활성화합니다.

2. SSH 또는 AWS Systems Manager를 사용하여 AL2023 컨테이너 호스트 인스턴스에 연결합니다.

3. AL2023 호스트가 FIPS 모드이고 /proc/sys/crypto/fips_enabled가 컨테이너 내에서 액세스할 수 있는 경우 AL2023 컨테이너에서 FIPS 모드가 자동으로 활성화됩니다. /proc/sys/crypto/fips_enabled의 내용이 0이면 FIPS가 활성화되지 않고 값 1은 FIPS 모드가 활성화되었음을 나타냅니다.

   AL2023 호스트와 컨테이너 모두에서 다음 명령을 실행하여 FIPS가 활성화되었는지 확인할 수 있습니다.

   cat /proc/sys/crypto/fips_enabled

4. 그런 다음 컨테이너 내에서 FIPS 암호화 정책을 활성화합니다. 이를 수행하는 방법에는 아래 옵션에 설명된 여러 가지가 있습니다. 해당 환경에 가장 적합한 옵션을 사용합니다.

   1. update-crypto-policies 명령을 사용하여 컨테이너 내에서 수동으로 FIPS 암호화 정책을 활성화합니다.

      # Run these commands inside the container
      dnf install -y crypto-policies-scripts
      update-crypto-policies --set FIPS

   2. AL2023 컨테이너 내에 bind 탑재를 생성합니다(다른 배포에서 podman이 작동하는 방식과 유사).

      # Run these commands inside the container
      mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
      echo "FIPS" > /usr/share/crypto-policies/default-fips-config
      mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config

   3. AL2023 컨테이너가 AL2023 호스트의 암호화 정책과 일치하도록 바인드 탑재를 생성할 수도 있습니다. 다음 명령만 예제로 제공됩니다. 컨테이너와 호스트 간에 암호화 정책 및 패키지 버전에 호환되지 않는 차이가 있는 경우 이 구성으로 인해 문제가 발생할 수 있습니다.

      sudo docker pull amazonlinux:2023
      sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023

5. 위의 단계를 수행한 후 다음 명령을 사용하여 컨테이너에서 FIPS가 활성화되어 있는지 다시 확인할 수 있습니다.

   $ cat /etc/crypto-policies/config
   FIPS
   
   $ cat /proc/sys/crypto/fips_enabled
   1