У меня есть сервер Ubuntu 20.04 с включенным ядром и пакетом FIPS. Проблема в том, что некоторым нашим приложениям требуется определенная версия openssl, которая несовместима с openssl, предоставляемой пакетами FIPS.
Таким образом, я пытаюсь удалить ядро и пакеты FIPS, выполнив следующие действия:
sudo ua отключить fips fips-updates
После этого я делаю следующее, чтобы удалить ядро FIPS:
- Установите загрузку для использования Ubuntu с помощью
Linux 5.4.0-100-общий ядро в качестве ядра по умолчанию на /etc/по умолчанию/жратва
- Перезагрузите сервер
- Убедитесь, что ядро включено
Linux 5.4.0-100-общий а не ядро FIPS,
- Удалить ядро FIPS официальным методом https://discourse.ubuntu.com/t/ubuntu-advantage-disabled-fips-manually/20738
- Перезагрузите сервер
- Теперь мой сервер включен
Linux 5.4.0-100-общий ядро
Но проблема в том, что я видел, что есть еще некоторые пакеты с пакетом FIPS:
$ sudo dpkg --list | grep фипс
ic fips-initramfs-generic 0.0.15+generic1 amd64 Тесты ядра FIPS 140-2
ii libgcrypt20:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 LGPL Crypto library — библиотека времени выполнения
ii libgcrypt20-hmac:amd64 1.8.5-5ubuntu1.fips.1.5 amd64 Файлы проверки целостности FIPS HMAC для библиотеки libgcrypt20.
ii libssl1.1:amd64 1.1.1f-1ubuntu2.fips.7.2 amd64 Набор инструментов Secure Sockets Layer — общие библиотеки
ii libssl1.1-hmac:amd64 1.1.1f-1ubuntu2.fips.7.2 amd64 Набор инструментов Secure Sockets Layer — проверка целостности FIPS HMAC
rc linux-image-5.4.0-1037-fips 5.4.0-1037.43 amd64 Подписанные файлы образа ядра
rc linux-modules-5.4.0-1037-fips 5.4.0-1037.43 amd64 Дополнительные модули ядра Linux для версии 5.4.0 на 64-битной x86 SMP
ic linux-modules-extra-5.4.0-1037-fips 5.4.0-1037.43 amd64 Дополнительные модули ядра Linux для версии 5.4.0 на 64-битной x86 SMP
ii openssh-client 1:8.2p1-4ubuntu0.fips.0.2.1 клиент защищенной оболочки amd64 (SSH) для безопасного доступа к удаленным машинам
ii openssh-server 1:8.2p1-4ubuntu0.fips.0.2.1 сервер защищенной оболочки amd64 (SSH) для безопасного доступа с удаленных компьютеров
ii openssh-sftp-server 1:8.2p1-4ubuntu0.fips.0.2.1 модуль sftp-сервера amd64 secure shell (SSH) для доступа по SFTP с удаленных компьютеров
ii openssl 1.1.1f-1ubuntu2.fips.7.2 amd64 Набор инструментов Secure Sockets Layer — криптографическая утилита
rc ubuntu-fips 1.2.4+updates1 amd64 Установка и настройка модулей ядра linux-fips и пользовательского пространства
Пока мой статус UA такой:
$ sudo ua статус
УСЛУГА НАЗВАНИЕ СТАТУС ОПИСАНИЕ
cc-eal да н/д Common Criteria EAL2 Provisioning Packages
цис да отключено Инструменты аудита и соответствия требованиям безопасности
esm-infra да включено UA Infra: расширенное обслуживание безопасности (ESM)
fips да н/д Базовые пакеты, сертифицированные NIST
fips-updates да отключено NIST-сертифицированные базовые пакеты с приоритетными обновлениями безопасности
livepatch да включен Служба Canonical Livepatch
УВЕДОМЛЕНИЯ
Ядро FIPS работает в отключенном состоянии.
Чтобы вручную удалить ядро fips: https://discourse.ubuntu.com/t/20738
Включите службы с помощью: ua enable <service>
Как удалить все пакеты FIPS и использовать Ubuntu по умолчанию?
Спасибо
