33932 2017-09-27 19:44:55 +0300 Для новой версии pki-server необходима поддержка FIPS 2017-09-29 06:39:10 +0300 1 1 4 Development Sisyphus pki-server unstable all Linux CLOSED WORKSFORME P3 normal --- 1 sin slev aen aspsk boris cas glebfm kernelbot ldv mike mithraen rider sbolshakov sem shrek sin slev vitty viy vsu zerg qa-sisyphus oldest_to_newest 165950 0 sin 2017-09-27 19:44:55 +0300 При отладке pki-server (http://pki.fedoraproject.org/wiki/Quick_Start) для новой FreeIPA была обнаружена ошибка: # pkispawn ... Begin installation (Yes/No/Quit)? Y Log file: /var/log/pki/pki-ca-spawn.20170927191559.log Installing CA into /var/lib/pki/pki-tomcat. pkispawn : ERROR ....... subprocess.CalledProcessError: Command '['sysctl', 'crypto.fips_enabled', '-bn']' returned non-zero exit status 255! Storing deployment configuration into /etc/sysconfig/pki/tomcat/pki-tomcat/ca/deployment.cfg. pkispawn : ERROR ....... OSError: [Errno 2] No such file or directory! Installation failed: [Errno 2] No such file or directory Получается, что у нас в ядре отсутствует поддержка CONFIG_CRYPTO_FIPS. Для CentOS вопрос был решён в 2012 году: "CentOS is FIPS compliant" https://www.centos.org/forums/viewtopic.php?t=9078 В Fedora поддержка включена: # fgrep FIPS /boot/config-4.12.13-200.fc25.x86_64 CONFIG_CRYPTO_FIPS=y Коммиты, в которых внесли изменения в dogtag-pki: commit 641180a465d7fdf12a978c9c458e39bf6829cac2 Author: Matthew Harmsen <mharmsen@redhat.com> Date: Tue May 16 12:58:17 2017 -0600 Added FIPS class to pkispawn Bugzilla Bug #1450143 - CA installation with HSM in FIPS mode fails dogtagpki Pagure Issue #2684 - CA installation with HSM in FIPS mode fails commit ee5af05036e87a9dad821c9dd8bc0198dac9bd65 Author: Matthew Harmsen <mharmsen@redhat.com> Date: Fri May 12 13:00:54 2017 -0600 Fix CA installation with HSM in FIPS mode Bugzilla Bug #1450143 - CA installation with HSM in FIPS mode fails dogtagpki Pagure Issue #2684 - CA installation with HSM in FIPS mode fails 165951 1 glebfm 2017-09-27 19:52:00 +0300 А зачем нам соответствовать американскому стандарту FIPS? 165952 2 sem 2017-09-27 19:58:51 +0300 (В ответ на комментарий №1) > А зачем нам соответствовать американскому стандарту FIPS? Угу. Фиксить надо pki-server. 165953 3 vitty 2017-09-27 20:04:05 +0300 Разве включение в ядре CONFIG_CRYPTO_FIPS чему-то мешает? Включение fips требует ещё и fips=1 в коммандной строке ядра. 165954 4 glebfm 2017-09-27 20:06:07 +0300 (In reply to comment #3) > Разве включение в ядре CONFIG_CRYPTO_FIPS чему-то мешает? Включение fips > требует ещё и fips=1 в коммандной строке ядра. Вопрос в том, зачем нам оно в принципе. :) 165955 5 rider 2017-09-27 20:07:17 +0300 fips=1 умеет делать pki сервер при старте. Но вопрос - кому оно мешает - мне тоже интересен. Как и то, чем плохо иметь его в включенном состоянии. 165956 6 rider 2017-09-27 20:08:09 +0300 Глеб, ну мало ли. Вот RH продаёт свои системы в России. А мы в США пока нет. 165957 7 sem 2017-09-27 20:26:52 +0300 (В ответ на комментарий №5) > Но вопрос - кому оно мешает - мне тоже интересен. Как и то, чем плохо иметь его > в включенном состоянии. Чем меньше в ядре включено всякого ненужного - тем лучше, мне это кажется очевидным. (В ответ на комментарий №6) > Глеб, ну мало ли. Вот RH продаёт свои системы в России. А мы в США пока нет. Вот когда у нас будут перспективы по продаже наших систем в США - тогда и включим. 165985 8 rider 2017-09-29 06:36:32 +0300 работает без FIPS, просто ругается при запуске.