RHEL в режиме FIPS игнорирует криптоподполитику

Вопрос или проблема

У меня есть несколько систем RHEL 8 и RHEL 9 с включенным режимом FIPS. Я пытаюсь использовать крипто-субполитику, чтобы отключить шифры CBC, но субполитика, пох似, игнорируется в режиме FIPS, хотя она применяется корректно.

Та же самая субполитика работает на системах без FIPS. RedHat также поддерживает субполитики в режиме FIPS, и применение моей не вызывает никаких сообщений об ошибках.

Мой файл /etc/crypto-policies/policies/modules/NO-CBC.pmod :

cipher@ssh = -*-CBC

Установка не сообщает о проблемах с субполитикой (я здесь не перезагрузил систему, как рекомендовано, но перезагрузка не решила эту проблему).

# fips-mode-setup --check
Режим FIPS включен.
# update-crypto-policies --show
FIPS
# update-crypto-policies --set FIPS:NO-CBC
Установка системной политики на FIPS:NO-CBC
Примечание: Политики криптографии для всей системы применяются при запуске приложения.
Рекомендуется перезагрузить систему для полного применения изменений в политиках.
# update-crypto-policies --show
FIPS:NO-CBC

Тем не менее, sshd все еще использует шифры cbc:

# sshd -T -C lport=22 | grep -i ciphers
ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,[email protected],[email protected],[email protected]

С выключенным режимом FIPS (и, конечно, с использованием крипто-политики DEFAULT)

# update-crypto-policies --show
DEFAULT
# update-crypto-policies --set DEFAULT:NO-CBC
Установка системной политики на DEFAULT:NO-CBC
Примечание: Политики криптографии для всей системы применяются при запуске приложения.
Рекомендуется перезагрузить систему для полного применения изменений в политиках.
# update-crypto-policies --show
DEFAULT:NO-CBC

И SSHD показывает, что шифры CBC удалены:

# sshd -T -C lport=22 | grep -i ciphers
ciphers [email protected],aes128-ctr,aes192-ctr,aes256-ctr,[email protected],[email protected]

Так почему же эта субполитика не работает в режиме FIPS?

Ответ или решение

Ваша проблема действительно может быть вызвана несколькими факторами, и давайте разберемся, почему подполитика криптографии NO-CBC может игнорироваться в режиме FIPS на ваших системах RHEL 8 и RHEL 9.

1. Понимание режима FIPS и криптополитик

Когда система работает в режиме FIPS, она обязана следовать строгим требованиям к криптографии, которые могут не полностью соответствовать настройкам подполитик. Режим FIPS предполагает использование только сертифицированных алгоритмов и протоколов, поэтому некоторые настройки могут быть ограничены.

2. Проверка параметров подполитик

Ваш файл подполитики /etc/crypto-policies/policies/modules/NO-CBC.pmod выглядит корректно. Однако есть вероятность, что текущие настройки не применяются должным образом из-за специфик реализации.

3. Обновление криптополитик

Когда вы применяете подполитику с помощью команды:

update-crypto-policies --set FIPS:NO-CBC

Убедитесь, что вы правильно перезапустили службы, использующие настройки криптографии. В случае SSHD, это можно сделать следующими командами:

systemctl restart sshd

Также рекомендуется перезапустить другие службы, использующие криптографию, или же полностью перезагрузить систему для полной актуализации параметров.

4. Проверка конфигурации SSH

Иногда, даже если подполитика настроена правильно, конфигурация SSH может переопределять эти настройки. Убедитесь, что ваши файлы конфигурации SSH (например, /etc/ssh/sshd_config) не содержат параметров, которые могут влиять на разрешенные шифры.

Откройте файл конфигурации и проверьте наличие строк, связанных с Ciphers, KexAlgorithms и MACs, которые могут переопределять ваши настройки:

# Найдите и закомментируйте или удалите строки
Ciphers ...
KexAlgorithms ...
MACs ...

После внесения изменений также перезапустите службу SSH.

5. Логи и диагностика

Если проблема не решилась, проверьте системные логи на наличие ошибок или предупреждений, касающихся применения криптополитик. Используйте следующую команду:

journalctl -u sshd

Это может помочь выявить, какие шифры действительно разрешены и используются, а также возможные ошибки в применении вашей подполитики.

6. Обратитесь в поддержку Red Hat

Если, несмотря на все предпринятые шаги, проблема сохраняется, рекомендуется обратиться в техподдержку Red Hat. Они смогут детально проанализировать вашу ситуацию и предоставить индивидуальные рекомендации.

В заключение, режим FIPS может иметь свои ограничения и особенности, которые необходимо учитывать. Надеюсь, данные шаги помогут вам решить вашу проблему с шифрами CBC в режиме FIPS.

Оцените материал
Добавить комментарий

Капча загружается...