ฉันมีเซิร์ฟเวอร์ Ubuntu 20.04 ที่เปิดใช้งาน FIPS Kernel และ Package ปัญหาคือบางแอปพลิเคชันของเราต้องการ opensl เวอร์ชันเฉพาะซึ่งเข้ากันไม่ได้กับ openssl ที่มาจากแพ็คเกจ FIPS
ดังนั้นฉันจึงพยายามลบเคอร์เนลและแพ็คเกจ FIPS โดยทำดังนี้
sudo ua ปิดใช้งาน fips fips-updates
หลังจากนั้น ฉันทำสิ่งต่อไปนี้เพื่อลบเคอร์เนล FIPS:
Linux 5.4.0-100-ทั่วไป เคอร์เนลเป็นเคอร์เนลเริ่มต้น /etc/default/grubLinux 5.4.0-100-ทั่วไป และไม่ใช่เคอร์เนล FIPSLinux 5.4.0-100-ทั่วไป เคอร์เนลแต่ปัญหาคือฉันเห็นว่ายังมีบางแพ็คเกจที่มีแพ็คเกจ FIPS:
$ sudo dpkg --list | grep fips
ic fips-initramfs-generic 0.0.15+generic1 amd64 การทดสอบเคอร์เนล FIPS 140-2
ii libgcrypt20:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 ไลบรารี LGPL Crypto - ไลบรารีรันไทม์
ii libgcrypt20-hmac:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 ไฟล์ตรวจสอบความสมบูรณ์ของ FIPS HMAC สำหรับไลบรารี libgcrypt20
ii libssl1.1:amd64 1.1.1f-1ubuntu2.fips.7.2 amd64 ชุดเครื่องมือ Secure Sockets Layer - ไลบรารีที่ใช้ร่วมกัน
ii libssl1.1-hmac:amd64 1.1.1f-1ubuntu2.fips.7.2 amd64 ชุดเครื่องมือ Secure Sockets Layer - การตรวจสอบความสมบูรณ์ของ FIPS HMAC
rc linux-image-5.4.0-1037-fips 5.4.0-1037.43 amd64 fips อิมเมจเคอร์เนลที่ลงชื่อ
rc linux-modules-5.4.0-1037-fips 5.4.0-1037.43 amd64 Linux kernel โมดูลเพิ่มเติมสำหรับเวอร์ชัน 5.4.0 บน 64 บิต x86 SMP
ic linux-modules-extra-5.4.0-1037-fips 5.4.0-1037.43 amd64 Linux kernel โมดูลเพิ่มเติมสำหรับเวอร์ชัน 5.4.0 บน 64 บิต x86 SMP
ii opensh-client 1:8.2p1-4ubuntu0.fips.0.2.1 ไคลเอนต์ amd64 secure shell (SSH) สำหรับการเข้าถึงเครื่องระยะไกลอย่างปลอดภัย
ii opensh-server 1:8.2p1-4ubuntu0.fips.0.2.1 เซิร์ฟเวอร์ amd64 secure shell (SSH) สำหรับการเข้าถึงที่ปลอดภัยจากเครื่องระยะไกล
ii opensh-sftp-server 1:8.2p1-4ubuntu0.fips.0.2.1 โมดูลเซิร์ฟเวอร์ sftp ของ amd64 secure shell (SSH) สำหรับการเข้าถึง SFTP จากเครื่องระยะไกล
ii opensl 1.1.1f-1ubuntu2.fips.7.2 amd64 ชุดเครื่องมือ Secure Sockets Layer - ยูทิลิตี้เข้ารหัส
rc ubuntu-fips 1.2.4+updates1 amd64 ติดตั้งและกำหนดค่าเคอร์เนล linux-fips และโมดูลพื้นที่ผู้ใช้
ในขณะที่สถานะ UA ของฉันเป็นดังนี้:
สถานะ $ sudo ua
คำอธิบายสถานะสิทธิ์ของบริการ
cc-eal ใช่ n/a เกณฑ์ทั่วไป EAL2 แพ็คเกจการจัดเตรียม
cis ใช่ ปิดใช้งานการปฏิบัติตามข้อกำหนดด้านความปลอดภัยและเครื่องมือการตรวจสอบ
esm-infra ใช่ เปิดใช้งาน UA Infra: Extended Security Maintenance (ESM)
fips ใช่ n/a แพ็คเกจหลักที่ได้รับการรับรองจาก NIST
fips-update ใช่ ปิดใช้งานแพ็คเกจหลักที่รับรองโดย NIST พร้อมการอัปเดตความปลอดภัยที่มีลำดับความสำคัญ
livepatch ใช่ เปิดใช้งานบริการ Canonical Livepatch
ประกาศ
เคอร์เนล FIPS กำลังทำงานในสถานะปิดใช้งาน
หากต้องการลบเคอร์เนล fips ด้วยตนเอง: https://discourse.ubuntu.com/t/20738
เปิดใช้บริการด้วย: ua enable <service>
จะลบแพ็คเกจ FIPS ทั้งหมดและใช้ค่าเริ่มต้นของ Ubuntu ได้อย่างไร
ขอขอบคุณ
ฉันพบวิธีการดาวน์เกรด/ถอนการติดตั้งแพ็คเกจ FIPS ด้านล่าง:
ตรวจสอบแพ็คเกจ FIPS ที่ติดตั้งบนเซิร์ฟเวอร์
$ sudo dpkg --list | grep fips
จากนั้นตรวจสอบเวอร์ชันที่มีอยู่ของแต่ละแพ็คเกจจากที่เก็บ Ubuntu
นโยบาย $ sudo apt openssl libgcrypt20:amd64 libgcrypt20-hmac:amd64 libssl1.1:amd64 libssl1.1-hmac:amd64 openssh-ไคลเอนต์ openssh-เซิร์ฟเวอร์ opensh-sftp-เซิร์ฟเวอร์
คุณจะเห็นแพ็คเกจบางเวอร์ชันที่พร้อมใช้งาน
ติดตั้งแพ็คเกจอีกครั้งด้วยเวอร์ชันเฉพาะ:
$ sudo apt install openssl=1.1.1f-1ubuntu2.10 libgcrypt20=1.8.5-5ubuntu1.1 libssl1.1=1.1.1f-1ubuntu2.10 openssh-client=1:8.2p1-4ubuntu0.4 openssh-server=1 :8.2p1-4ubuntu0.4 opensh-sftp-server=1:8.2p1-4ubuntu0.4
ตรวจสอบให้แน่ใจว่าแพ็คเกจทั้งหมดอัปเดตเป็นเวอร์ชันล่าสุดแล้ว:
$ sudo apt update && sudo apt dist-upgrade -y
รีบูท
หากวิธีการของฉันข้างต้นไม่ปลอดภัย/ไม่ถูกต้อง โปรดตอบกลับหรือแนะนำวิธีแก้ปัญหาที่ดีกว่า
ขอขอบคุณ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
