1 votes

khgasd652k avatar

Ubuntu 20.04 LTS ne parvient pas à supprimer les paquets FIPS

Demandé el 2 de Mars, 2022
Quand la question a-t-elle été
133 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai un serveur Ubuntu 20.04 avec le noyau et les paquets FIPS activés. Le problème est que certaines de nos applications nécessitent une version spécifique d'openssl qui n'est pas compatible avec l'openssl fourni par les paquets FIPS.

Ainsi, j'essaie de supprimer le noyau et les paquets FIPS en faisant :

sudo ua disable fips fips-updates

Après cela, je fais ce qui suit pour supprimer le noyau FIPS :

  1. Configurer le démarrage pour utiliser Ubuntu, avec Linux 5.4.0-100-generic comme le noyau par défaut sur /etc/default/grub
  2. Redémarrer le serveur
  3. Confirmez que le noyau est sur Linux 5.4.0-100-generic et non pas FIPS Kernel,
  4. Supprimer le noyau FIPS avec la méthode officielle https://discourse.ubuntu.com/t/ubuntu-advantage-disabling-fips-manually/20738
  5. Redémarrer le serveur
  6. Maintenant, mon serveur est sur Linux 5.4.0-100-generic Noyau

Mais le problème est que j'ai vu qu'il y a encore quelques paquets avec le paquet FIPS :

$ sudo dpkg --list | grep fips   
ic  fips-initramfs-generic                0.0.15+generic1                            amd64        FIPS 140-2 kernel tests
ii  libgcrypt20:amd64                     1.8.5-5ubuntu1.fips.1.5                    amd64        LGPL Crypto library - runtime library
ii  libgcrypt20-hmac:amd64                1.8.5-5ubuntu1.fips.1.5                    amd64        FIPS HMAC integrity check files for libgcrypt20 library.
ii  libssl1.1:amd64                       1.1.1f-1ubuntu2.fips.7.2                   amd64        Secure Sockets Layer toolkit - shared libraries
ii  libssl1.1-hmac:amd64                  1.1.1f-1ubuntu2.fips.7.2                   amd64        Secure Sockets Layer toolkit - FIPS HMAC integrity check
rc  linux-image-5.4.0-1037-fips           5.4.0-1037.43                              amd64        Signed kernel image fips
rc  linux-modules-5.4.0-1037-fips         5.4.0-1037.43                              amd64        Linux kernel extra modules for version 5.4.0 on 64 bit x86 SMP
ic  linux-modules-extra-5.4.0-1037-fips   5.4.0-1037.43                              amd64        Linux kernel extra modules for version 5.4.0 on 64 bit x86 SMP
ii  openssh-client                        1:8.2p1-4ubuntu0.fips.0.2.1                amd64        secure shell (SSH) client, for secure access to remote machines
ii  openssh-server                        1:8.2p1-4ubuntu0.fips.0.2.1                amd64        secure shell (SSH) server, for secure access from remote machines
ii  openssh-sftp-server                   1:8.2p1-4ubuntu0.fips.0.2.1                amd64        secure shell (SSH) sftp server module, for SFTP access from remote machines
ii  openssl                               1.1.1f-1ubuntu2.fips.7.2                   amd64        Secure Sockets Layer toolkit - cryptographic utility
rc  ubuntu-fips                           1.2.4+updates1                             amd64        Install and configure linux-fips kernel and user space modules

Alors que mon statut UA est comme ça :

$ sudo ua status
SERVICE       ENTITLED  STATUS    DESCRIPTION
cc-eal        yes       n/a       Common Criteria EAL2 Provisioning Packages
cis           yes       disabled  Security compliance and audit tools
esm-infra     yes       enabled   UA Infra: Extended Security Maintenance (ESM)
fips          yes       n/a       NIST-certified core packages
fips-updates  yes       disabled  NIST-certified core packages with priority security updates
livepatch     yes       enabled   Canonical Livepatch service

NOTICES
FIPS kernel is running in a disabled state.
  To manually remove fips kernel: https://discourse.ubuntu.com/t/20738

Enable services with: ua enable <service>

Comment supprimer tous les paquets FIPS et utiliser les paquets fournis par défaut par Ubuntu ?

Merci.

Demandé el 2 de Mars, 2022 par khgasd652k

Réponse

Trop de publicités?

0voto

khgasd652k avatar
khgasd652k Points 81

J'ai trouvé une méthode pour rétrograder/désinstaller le paquet FIPS ci-dessous :

  1. Vérifier les paquets FIPS installés sur le serveur

    $ sudo dpkg --list | grep fips

  2. Ensuite, vérifiez la version disponible de chaque paquet dans le dépôt Ubuntu.

    $ sudo apt policy openssl libgcrypt20:amd64 libgcrypt20-hmac:amd64 libssl1.1:amd64 libssl1.1-hmac:amd64 openssh-client openssh-server openssh-sftp-server

    Vous verrez quelques versions des paquets disponibles.

  3. Réinstaller le paquet avec la version spécifique :

    $ sudo apt install openssl=1.1.1f-1ubuntu2.10 libgcrypt20=1.8.5-5ubuntu1.1 libssl1.1=1.1.1f-1ubuntu2.10 openssh-client=1:8.2p1-4ubuntu0.4 openssh-server=1:8.2p1-4ubuntu0.4 openssh-sftp-server=1:8.2p1-4ubuntu0.4

  4. Assurez-vous que tous les paquets ont déjà été mis à jour à la dernière version :

    $ sudo apt update && sudo apt dist-upgrade -y

  5. Redémarrer

Si ma méthode ci-dessus n'est pas sûre/incorrecte, veuillez répondre ou suggérer une meilleure solution.

Merci.

Répondu el 2 de Mars, 2022 par khgasd652k (81 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X