启用 FIPS 模式 AL2 - Amazon Linux 2
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

启用 FIPS 模式 AL2

本节介绍如何在上 AL2启用《联邦信息处理标准》(FIPS)。有关 FIPS 的更多信息,请参阅:

先决条件

  • 可以访问互联网下载所需软件包的现有 AL2 Amazon EC2 实例。有关启动 AL2 Amazon EC2 实例的更多信息,请参阅AL2 在亚马逊上 EC2

  • 您必须使用 SSH 或连接到您的 Amazon EC2 实例Amazon Systems Manager。

重要

ED25519 FIPS 模式下不支持 SSH 用户密钥。如果您使用 ED25519 SSH 密钥对启动 Amazon EC2 实例,则必须使用其他算法(例如 RSA)生成新密钥,否则在启用 FIPS 模式后您可能会失去对实例的访问权限。有关更多信息,请参阅 Amazon EC2 用户指南中的创建密钥对

启用 FIPS 模式

  1. 使用 SSH 或连接到您的 AL2 实例Amazon Systems Manager。

  2. 确保系统是最新版本。有关更多信息,请参阅 程序包存储库

  3. 运行以下命令安装并启用该dracut-fips模块。

    sudo yum -y install dracut-fips
sudo dracut -f

  4. 使用以下命令在 Linux 内核命令行上启用 FIPS 模式。这将为常见问题解答中列出的模块在系统范围内启用 FIPS 模式 AL2 

    sudo /sbin/grubby --update-kernel=ALL --args="fips=1"

  5. 重启您的 AL2 实例。

    sudo reboot

  6. 要验证是否已启用 FIPS 模式,请重新连接到实例并运行以下命令。

    sysctl crypto.fips_enabled

    您应看到以下输出:

    crypto.fips_enabled = 1

    您还可以通过运行以下命令来验证 OpenSSH 是否处于 FIPS 模式:

    ssh localhost 2>&1 | grep FIPS

    您应看到以下输出:

    FIPS mode initialized