Tôi có Máy chủ Ubuntu 20.04 đã bật Hạt nhân và gói Trin. Vấn đề là một số ứng dụng của chúng tôi cần phiên bản openssl cụ thể không tương thích với openssl do các gói FIPS cung cấp.
Vì vậy, tôi cố gắng loại bỏ FIPS Kernel và Gói bằng cách thực hiện:
sudo ua vô hiệu hóa fips fips-cập nhật
Sau đó, tôi làm như sau để loại bỏ Hạt nhân FIPS:
- Đặt khởi động để sử dụng Ubuntu, với
Linux 5.4.0-100-chung kernel làm kernel mặc định trên /etc/default/grub
- Khởi động lại máy chủ
- Xác nhận rằng kernel đang bật
Linux 5.4.0-100-chung chứ không phải hạt nhân FIPS,
- Xóa hạt nhân FIPS bằng phương pháp chính thức https://discourse.ubuntu.com/t/ubuntu-advantage-disabling-fips-manually/20738
- Khởi động lại máy chủ
- Bây giờ máy chủ của tôi đang bật
Linux 5.4.0-100-chung hạt nhân
Nhưng vấn đề là, tôi thấy rằng vẫn còn một số gói với gói FIPS:
$ sudo dpkg --list | grep fips
ic fips-initramfs-generic 0.0.15+generic1 AMD64 Kiểm tra hạt nhân FIPS 140-2
ii libgcrypt20:amd64 1.8.5-5ubuntu1.fips.1.5 AMD64 Thư viện LGPL Crypto - thư viện thời gian chạy
ii libgcrypt20-hmac:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 FIPS HMAC tệp kiểm tra tính toàn vẹn cho thư viện libgcrypt20.
ii libssl1.1:amd64 1.1.1f-1ubuntu2.fips.7.2 bộ công cụ Lớp cổng bảo mật AMD64 - thư viện dùng chung
ii libssl1.1-hmac:amd64 1.1.1f-1ubuntu2.fips.7.2 bộ công cụ Lớp cổng bảo mật AMD64 - Kiểm tra tính toàn vẹn FIPS HMAC
rc linux-image-5.4.0-1037-fips 5.4.0-1037.43 AMD64 Hình ảnh hạt nhân đã ký
rc linux-modules-5.4.0-1037-fips 5.4.0-1037.43 AMD64 Các mô-đun bổ sung của nhân Linux cho phiên bản 5.4.0 trên 64 bit x86 SMP
ic linux-modules-extra-5.4.0-1037-fips 5.4.0-1037.43 AMD64 Các mô-đun bổ sung của nhân Linux cho phiên bản 5.4.0 trên 64 bit x86 SMP
ii openssh-client 1:8.2p1-4ubuntu0.fips.0.2.1 ứng dụng khách vỏ bảo mật (SSH) AMD64, để truy cập an toàn vào các máy từ xa
ii openssh-server 1:8.2p1-4ubuntu0.fips.0.2.1 máy chủ vỏ bảo mật (SSH) amd64, để truy cập an toàn từ các máy từ xa
ii openssh-sftp-server 1:8.2p1-4ubuntu0.fips.0.2.1 mô-đun máy chủ sftp vỏ bảo mật (SSH) AMD64, để truy cập SFTP từ các máy từ xa
ii openssl 1.1.1f-1ubuntu2.fips.7.2 bộ công cụ Lớp cổng bảo mật AMD64 - tiện ích mật mã
rc ubuntu-fips 1.2.4+updates1 amd64 Cài đặt và định cấu hình các mô-đun không gian người dùng và nhân linux-fips
Trong khi Trạng thái UA của tôi là như thế này:
$ sudo ua trạng thái
MÔ TẢ TÌNH TRẠNG ĐƯỢC HƯỞNG DỊCH VỤ
cc-eal có n/a Tiêu chí chung Gói cung cấp EAL2
cis yes bị vô hiệu hóa Công cụ kiểm tra và tuân thủ bảo mật
esm-infra có bật UA Infra: Bảo trì bảo mật mở rộng (ESM)
fips yes n/a gói cốt lõi được NIST chứng nhận
fips-updates yes các gói cốt lõi được NIST chứng nhận đã vô hiệu hóa với các bản cập nhật bảo mật ưu tiên
livepatch đã bật dịch vụ Canonical Livepatch
THÔNG BÁO
Hạt nhân FIPS đang chạy ở trạng thái bị vô hiệu hóa.
Để xóa kernel fips theo cách thủ công: https://discourse.ubuntu.com/t/20738
Kích hoạt dịch vụ với: ua enable <service>
Làm cách nào để xóa tất cả các gói FIPS và sử dụng Ubuntu mặc định cung cấp?
Cảm ơn bạn
