Habilitar o modo FIPS em um contêiner do AL2023 - Amazon Linux 2023

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar o modo FIPS em um contêiner do AL2023

Esta seção explica como habilitar o Federal Information Processing Standards (FIPS) em um contêiner do AL2023. Para obter mais informações sobre FIPS, consulte:

nota

Esta seção documenta como habilitar o modo FIPS em um contêiner do AL2023. Ela não abrange o status de certificação dos módulos criptográficos do AL2023.

Pré-requisitos

  • Uma instância AL2023 (AL2023.2 ou superior) existente do Amazon EC2 com acesso à Internet para baixar os pacotes necessários. Para obter mais informações sobre como iniciar uma instância de AL2023 Amazon EC2, consulte Lançamento do AL2 023 usando o console da Amazon EC2.

  • Você deve se conectar à sua instância do Amazon EC2 usando SSH ou AWS Systems Manager. Para obter mais informações, consulte Conexão com AL2 203 instâncias.

Importante

O comando fips-mode-setup não funcionará corretamente de dentro do contêiner. Leia as etapas abaixo para configurar corretamente o modo FIPS em um contêiner do AL2023.

Habilitar o modo FIPS em um contêiner do AL2023

  1. O modo FIPS deve primeiro ser habilitado no host do contêiner do AL2023. Siga as instruções em Habilitar o modo FIPS no AL2023 para habilitar o modo FIPS no host.

  2. Conecte-se à instância de host do contêiner do AL2023 usando SSH ou AWS Systems Manager.

  3. O modo FIPS será habilitado automaticamente em um contêiner do AL2023 se o host do AL2023 estiver no modo FIPS e /proc/sys/crypto/fips_enabled puder ser acessado de dentro do contêiner. Se o conteúdo de /proc/sys/crypto/fips_enabled é 0, o FIPS não está habilitado, enquanto um valor de 1 indica que o modo FIPS está habilitado.

    Você pode verificar se o FIPS está habilitado executando o seguinte comando no host do AL2023 e no contêiner:

    cat /proc/sys/crypto/fips_enabled

  4. Depois, habilite as políticas de criptografia do FIPS dentro do contêiner. Há várias maneiras de fazer isso, descritas nas opções abaixo. Use a opção mais adequada para o seu ambiente.

    1. Habilite as políticas de criptografia do FIPS manualmente dentro do contêiner usando o comando update-crypto-policies:

      # Run these commands inside the container
dnf install -y crypto-policies-scripts
update-crypto-policies --set FIPS

    2. Crie montagens bind no contêiner do AL2023 (isso é semelhante ao funcionamento de podman em outras distribuições):

      # Run these commands inside the container
mount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-ends
echo "FIPS" > /usr/share/crypto-policies/default-fips-config
mount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config

    3. Também é possível criar uma montagem vinculada para que o contêiner do AL2023 corresponda às políticas de criptografia do host do AL2023. O conteúdo a seguir é apenas um exemplo. Essa configuração pode causar problemas se houver diferenças incompatíveis nas políticas de criptografia e nas versões de pacotes entre o contêiner e o host:

      sudo docker pull amazonlinux:2023
sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023

  5. Depois de executar as etapas acima, você pode verificar novamente se o FIPS está habilitado no contêiner com os seguintes comandos:

    $ cat /etc/crypto-policies/config
FIPS

$ cat /proc/sys/crypto/fips_enabled
1