Am Ubuntu 20.04 Server cu kernel și pachet FIPS activate. Problema este că unele dintre aplicațiile noastre au nevoie de o versiune specifică a openssl, care nu este compatibilă cu openssl furnizat de pachetele FIPS.
Astfel, încerc să elimin kernel-ul și pachetele FIPS făcând:
sudo ua dezactivează fips fips-updates
După aceea, fac următoarele pentru a elimina nucleul FIPS:
- Setați boot-ul pentru a utiliza Ubuntu, cu
Linux 5.4.0-100-generic kernel ca nucleu implicit activat /etc/default/grub
- Reporniți serverul
- Confirmați că nucleul este pornit
Linux 5.4.0-100-generic și nu FIPS Kernel,
- Eliminați nucleul FIPS cu metoda oficială https://discourse.ubuntu.com/t/ubuntu-advantage-disabling-fips-manually/20738
- Reporniți serverul
- Acum serverul meu este pornit
Linux 5.4.0-100-generic Nucleu
Dar problema este că am văzut că mai sunt câteva pachete cu pachet FIPS:
$ sudo dpkg --list | grep fips
ic fips-initramfs-generic 0.0.15+generic1 amd64 Teste kernel FIPS 140-2
ii libgcrypt20:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 LGPL Crypto library - bibliotecă runtime
ii libgcrypt20-hmac:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 Fișierele de verificare a integrității HMAC FIPS pentru biblioteca libgcrypt20.
ii libssl1.1:amd64 1.1.1f-1ubuntu2.fips.7.2 amd64 Secure Sockets Layer toolkit - biblioteci partajate
ii libssl1.1-hmac:amd64 1.1.1f-1ubuntu2.fips.7.2 amd64 Secure Sockets Layer toolkit - Verificare a integrității FIPS HMAC
rc linux-image-5.4.0-1037-fips 5.4.0-1037.43 amd64 Imagine kernel semnată fips
rc linux-modules-5.4.0-1037-fips 5.4.0-1037.43 amd64 Linux kernel module suplimentare pentru versiunea 5.4.0 pe 64 de biți x86 SMP
ic linux-modules-extra-5.4.0-1037-fips 5.4.0-1037.43 amd64 Linux kernel module suplimentare pentru versiunea 5.4.0 pe 64 de biți x86 SMP
ii client openssh-client 1:8.2p1-4ubuntu0.fips.0.2.1 amd64 secure shell (SSH) client, pentru acces securizat la mașinile de la distanță
ii server openssh-server 1:8.2p1-4ubuntu0.fips.0.2.1 amd64 secure shell (SSH), pentru acces securizat de la mașini la distanță
ii modulul server sftp openssh-sftp-server 1:8.2p1-4ubuntu0.fips.0.2.1 amd64 secure shell (SSH), pentru acces SFTP de la mașini la distanță
ii openssl 1.1.1f-1ubuntu2.fips.7.2 amd64 Secure Sockets Layer toolkit - utilitar criptografic
rc ubuntu-fips 1.2.4+updates1 amd64 Instalați și configurați modulele de kernel și spațiu utilizator linux-fips
În timp ce starea mea UA este așa:
$ sudo ua status
DESCRIEREA STATULUI TITLUL SERVICIULUI
cc-eal da n/a Criterii comune EAL2 Pachete de furnizare
cis da dezactivat Conformitatea securității și instrumente de audit
esm-infra da activat UA Infra: Extended Security Maintenance (ESM)
fips da n/a Pachete de bază certificate NIST
fips-updates da pachete de bază certificate NIST dezactivate cu actualizări de securitate prioritare
Livepatch da, serviciul Canonical Livepatch activat
NOTIFICARI
Nucleul FIPS rulează într-o stare dezactivată.
Pentru a elimina manual kernelul fips: https://discourse.ubuntu.com/t/20738
Activați serviciile cu: ua enable <service>
Cum să eliminați toate pachetele FIPS și să utilizați furnizarea implicită Ubuntu?
Mulțumesc
