启用FIPS模式有三种方法:一、安装时在内核参数加fips=1;二、用fips-mode-setup --enable并重启;三、用update-crypto-policies --set FIPS(不改内核参数)。验证需四重检查,禁用须重装系统。
如果您在RHEL系统中需要满足政府或行业强制性加密合规要求,则必须启用FIPS模式以强制使用经批准的加密算法。以下是启用FIPS模式的多种可行方法:
一、在系统安装过程中启用FIPS模式
此方法可确保所有密钥(包括引导加载程序、LUKS卷、SSL证书等)均使用FIPS批准算法生成,是唯一能完整满足FIPS 140-2/3认证前提的方式。
1、在RHEL安装启动界面按
2、在kernel参数末尾追加fips=1,例如:rd.lvm.lv=rhel/root rhgb quiet fips=1。
3、按Ctrl+X或Enter继续启动安装程序。
4、完成安装后,系统将自动处于FIPS模式,无需额外配置。
二、使用fips-mode-setup工具启用FIPS模式
该工具执行完整的FIPS初始化流程,包括安装fips dracut模块、添加内核引导参数、重建initramfs,并设置系统范围加密策略为FIPS。
1、以root身份运行命令:fips-mode-setup --enable。
2、等待提示“kernel initramdisks are being regenerated”完成。
3、执行重启命令:reboot。
4、重启后验证状态:fips-mode-setup --check,输出应为“fips mode is enabled”。
三、通过update-crypto-policies命令启用FIPS策略
此方法仅切换系统范围加密策略至FIPS级别,不修改内核参数或重建initramfs,适用于已知不依赖早期引导密钥的轻量合规场景。
1、以root身份运行:update-crypto-policies --set FIPS。
2、确认输出包含“Setting system policy to FIPS”及策略生效提示。
3、重启所有受影响服务或整个系统,因策略仅在应用启动时生效。
4、验证当前策略:update-crypto-policies --show,应返回“FIPS”。
四、验证FIPS模式是否已激活
需从多个层面交叉确认,避免仅依赖单一检查项造成误判。
1、检查内核引导参数:cat /proc/cmdline | grep fips=1,必须存在该字符串。
2、检查FIPS状态:fips-mode-setup --check,返回“fips mode is enabled”。
3、检查当前加密策略:update-crypto-policies --show,输出应为“FIPS”。
4、验证OpenSSL是否使用FIPS模块:openssl version -a | grep -i fips,应显示FIPS enabled字样。
五、禁用FIPS模式的唯一安全方式
FIPS模式一旦启用,不可逆向关闭;强行禁用会导致系统处于不一致状态,密钥与算法兼容性断裂,服务可能无法启动。
1、确认当前系统无业务依赖且已备份关键数据。
2、执行完全重新安装RHEL系统。
3、安装过程中不添加fips=1参数。
4、安装完成后,使用update-crypto-policies --set DEFAULT恢复默认策略。
