本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 AL2023 上启用 FIPS 模式
本节介绍如何在 AL2023 上启用“美国联邦信息处理标准 (FIPS)”。有关 FIPS 的更多信息,请参阅:
注意
本节介绍如何在 AL2023 中启用 FIPS 模式,但不包括 AL2023 加密模块的认证状态。
先决条件
-
现有 AL2023(AL2023.2 或更高版本)Amazon EC2 实例,可以访问互联网并下载所需软件包。有关启动 AL2023 Amazon EC2 实例的更多信息,请参阅使用亚马逊 EC2 控制台启动 AL2023。
-
必须使用 SSH 或 Amazon Systems Manager连接到您的 Amazon EC2 实例。有关更多信息,请参阅 正在连接到 AL2023 实例。
重要
FIPS 模式不支持 ED25519 SSH 用户密钥。如果您使用 ED25519 SSH 密钥对启动了 Amazon EC2 实例,则必须使用其他算法(例如 RSA)生成新密钥,否则您在启用 FIPS 模式后可能失去对实例的访问权限。有关更多信息,请参阅 Amazon EC2 用户指南中的创建密钥对。
启用 FIPS 模式
-
使用 SSH 或 Amazon Systems Manager连接到 AL2023 实例。
-
确保系统是最新版本。有关更多信息,请参阅 在 AL2023 中管理软件包和操作系统更新。
-
确保安装了
crypto-policies
实用程序,然后 up-to-date。sudo dnf -y install crypto-policies crypto-policies-scripts
-
通过运行以下命令来启用 FIPS 模式。
sudo fips-mode-setup --enable
-
使用以下命令重新引导实例。
sudo reboot
-
要验证是否已启用 FIPS 模式,请重新连接到实例并运行以下命令。
sudo fips-mode-setup --check
以下示例输出显示已启用 FIPS 模式:
FIPS mode is enabled. Initramfs fips module is enabled. The current crypto policy (FIPS) is based on the FIPS policy.