本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AL2023 容器中启用 FIPS 模式
这部分说明如何在 AL2023 容器中启用联邦信息处理标准(FIPS)。有关 FIPS 的更多信息,请参阅:
注意
这部分记录如何在 AL2023 容器中启用 FIPS 模式。它不涉及 AL2023 加密模块的认证状态。
先决条件
-
现有 AL2023(AL2023.2 或更高版本)Amazon EC2 实例,可以访问互联网并下载所需软件包。有关启动 AL2023 Amazon EC2 实例的更多信息,请参阅使用亚马逊 EC2 控制台启动 AL2 023。
-
必须使用 SSH 或 AWS Systems Manager 连接到您的 Amazon EC2 实例。有关更多信息,请参阅 正在连接到 AL2 023 个实例。
重要
fips-mode-setup 命令在容器内部将无法正常工作。请阅读以下步骤以在 AL2023 容器中正确配置 FIPS 模式。
在 AL2023 容器中启用 FIPS 模式
-
必须首先在 AL2023 容器主机上启用 FIPS 模式。按照 在 AL2023 上启用 FIPS 模式 处的说明在主机上启用 FIPS 模式。
-
使用 SSH 或 AWS Systems Manager 连接到您的 AL2023 容器主机实例。
-
如果 AL2023 主机处于 FIPS 模式并且
/proc/sys/crypto/fips_enabled可以从容器内部访问,则 FIPS 模式将在 AL2023 容器中自动启用。如果/proc/sys/crypto/fips_enabled的内容是0,则表示 FIPS 未启用;值为1表示 FIPS 模式已启用。您可以通过在 AL2023 主机和容器上运行以下命令来验证 FIPS 是否已启用:
cat /proc/sys/crypto/fips_enabled -
接下来,在容器内启用 FIPS 加密策略。有几种方法可以实现这一点,将在下面的选项中描述。请使用最适合您环境的选项。
-
使用
update-crypto-policies命令在容器内手动启用 FIPS 加密策略:# Run these commands inside the containerdnf install -y crypto-policies-scriptsupdate-crypto-policies --set FIPS -
在 AL2023 容器内创建
bind挂载(这类似于podman在其他发行版中的工作方式):# Run these commands inside the containermount --bind /usr/share/crypto-policies/back-ends/FIPS /etc/crypto-policies/back-endsecho "FIPS" > /usr/share/crypto-policies/default-fips-configmount --bind /usr/share/crypto-policies/default-fips-config /etc/crypto-policies/config -
也可以创建一个绑定挂载,以使 AL2023 容器与 AL2023 主机的加密策略相匹配。以下仅作为示例提供。如果容器和主机之间的加密策略及程序包版本存在不兼容的差异,此配置可能会导致问题:
sudo docker pull amazonlinux:2023sudo docker run --mount type=bind,readonly,src=/etc/crypto-policies,dst=/etc/crypto-policies -it amazonlinux:2023
-
-
执行上述步骤后,您可以使用以下命令再次验证 FIPS 是否已在容器中启用:
$ cat /etc/crypto-policies/config FIPS $ cat /proc/sys/crypto/fips_enabled 1
