有人可以指定在 Postgres 数据库上启用 FIPS 的步骤吗?
我不相信您可以在“FIPS 模式”下运行 Postgres,因为它使用了未经批准的加密技术。从过去的审计中,我知道它广泛使用了 MD5(例如,请参阅 Postgres Mailing List: Use of MD5。所以很多东西在实践中都会被打破。
尽管如此,以下是尝试通过 OpenSSL 执行此操作的步骤。由于 Postgres 不支持 FIPS,因此分为三个部分,您需要对 Postgres 进行一些修改。
第一步
您必须为配置构建 OpenSSL。这是一个两步过程。首先构建 FIPS 对象模块;其次,构建 FIPS 功能库。
要构建 FIPS 对象模块,首先下载 `openssl-fips-2.n.n.tar.gz。解包后执行:
./configure
make
sudo make install
运行上述命令后,fipscanister 将位于/usr/local/ssl/fips-2.0。 FIPS 功能库将使用它来提供 FIPS 验证加密。
其次,你下载openssl-1.n.n.tar.gz。解包后执行:
./configure fips shared <other options>
make all
sudo make install
关键部分是配置期间的fips 选项。
运行上述命令后,您将拥有一个支持 FIPS 的库。图书馆将位于/usr/local/ssl/lib。一如既往地使用libcrypto.so 和libssl.so。
FIPS 功能库使用fipscanister,因此您无需担心/usr/local/ssl/fips-2.0 中的内容。它只是构建 FIPS 对象模块的产物(有些人放弃)。
第二步
查找 Postgres 调用SSL_library_init:
$ grep -R SSL_library_init *
...
src/backend/libpq/be-secure.c: SSL_library_init();
src/interfaces/libpq/fe-secure.c: SSL_library_init();
打开be-secure.c 和fe-secure.c,并添加对FIPS_mode_set 的调用。
/* be-secure.c, near line 725 */
static void
initialize_SSL(void)
{
struct stat buf;
STACK_OF(X509_NAME) *root_cert_list = NULL;
#if defined(OPENSSL_FIPS)
int rc;
rc = FIPS_mode();
if(rc == 0)
{
rc = FIPS_mode_set(1);
assert(1 == rc);
}
#endif
if (!SSL_context)
{
#if SSLEAY_VERSION_NUMBER >= 0x0907000L
OPENSSL_config(NULL);
#endif
SSL_library_init();
SSL_load_error_strings();
...
}
...
}
如果对 FIPS_mode_set 的调用成功,那么您将使用 FIPS 验证的加密。如果失败,您仍将使用 OpenSSL 的加密,但它不会是 FIPS 验证的加密。
您还需要将以下标头添加到be-secure.c 和fe-secure.c:
#include <openssl/opensslconf.h>
#include <openssl/fips.h>
第三步
最后一步是确保您从第一步开始使用 FIPS 功能库。通过CFLAGS 和LDFLAGS 执行此操作:
cd postgres-9.3.2
export CFLAGS="-I/usr/local/ssl/include"
export LDFLAGS="-L/usr/local/ssl/lib"
./config --with-openssl <other options>
...