RHEL в режиме FIPS игнорирует криптоподполитику

Вопрос или проблема

cipher@ssh = -*-CBC

# fips-mode-setup --check
Режим FIPS включен.
# update-crypto-policies --show
FIPS
# update-crypto-policies --set FIPS:NO-CBC
Установка системной политики на FIPS:NO-CBC
Примечание: Политики криптографии для всей системы применяются при запуске приложения.
Рекомендуется перезагрузить систему для полного применения изменений в политиках.
# update-crypto-policies --show
FIPS:NO-CBC

# sshd -T -C lport=22 | grep -i ciphers
ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,[email protected],[email protected],[email protected]

# update-crypto-policies --show
DEFAULT
# update-crypto-policies --set DEFAULT:NO-CBC
Установка системной политики на DEFAULT:NO-CBC
Примечание: Политики криптографии для всей системы применяются при запуске приложения.
Рекомендуется перезагрузить систему для полного применения изменений в политиках.
# update-crypto-policies --show
DEFAULT:NO-CBC

# sshd -T -C lport=22 | grep -i ciphers
ciphers [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]

Ответ или решение

Ваша проблема действительно может быть вызвана несколькими факторами, и давайте разберемся, почему подполитика криптографии NO-CBC может игнорироваться в режиме FIPS на ваших системах RHEL 8 и RHEL 9.

1. Понимание режима FIPS и криптополитик

Когда система работает в режиме FIPS, она обязана следовать строгим требованиям к криптографии, которые могут не полностью соответствовать настройкам подполитик. Режим FIPS предполагает использование только сертифицированных алгоритмов и протоколов, поэтому некоторые настройки могут быть ограничены.

2. Проверка параметров подполитик

Ваш файл подполитики /etc/crypto-policies/policies/modules/NO-CBC.pmod выглядит корректно. Однако есть вероятность, что текущие настройки не применяются должным образом из-за специфик реализации.

3. Обновление криптополитик

Когда вы применяете подполитику с помощью команды:

update-crypto-policies --set FIPS:NO-CBC

Убедитесь, что вы правильно перезапустили службы, использующие настройки криптографии. В случае SSHD, это можно сделать следующими командами:

systemctl restart sshd

Также рекомендуется перезапустить другие службы, использующие криптографию, или же полностью перезагрузить систему для полной актуализации параметров.

4. Проверка конфигурации SSH

Иногда, даже если подполитика настроена правильно, конфигурация SSH может переопределять эти настройки. Убедитесь, что ваши файлы конфигурации SSH (например, /etc/ssh/sshd_config) не содержат параметров, которые могут влиять на разрешенные шифры.

Откройте файл конфигурации и проверьте наличие строк, связанных с Ciphers, KexAlgorithms и MACs, которые могут переопределять ваши настройки:

# Найдите и закомментируйте или удалите строки
Ciphers ...
KexAlgorithms ...
MACs ...

После внесения изменений также перезапустите службу SSH.

5. Логи и диагностика

Если проблема не решилась, проверьте системные логи на наличие ошибок или предупреждений, касающихся применения криптополитик. Используйте следующую команду:

journalctl -u sshd

Это может помочь выявить, какие шифры действительно разрешены и используются, а также возможные ошибки в применении вашей подполитики.

6. Обратитесь в поддержку Red Hat

Если, несмотря на все предпринятые шаги, проблема сохраняется, рекомендуется обратиться в техподдержку Red Hat. Они смогут детально проанализировать вашу ситуацию и предоставить индивидуальные рекомендации.

В заключение, режим FIPS может иметь свои ограничения и особенности, которые необходимо учитывать. Надеюсь, данные шаги помогут вам решить вашу проблему с шифрами CBC в режиме FIPS.