为了在FIPS 140-2环境下测试我的应用程序,我考虑运行fipsed容器。在不将整个主机置于FIPS模式并使所有容器都在FIPS限制下运行的情况下,是否可以做到这一点?
x7yiwoj41#
我不相信这是可能的。某些库(如openssl)不仅期望从(FIPS模式)主机绑定挂载“魔术”文件,而且它们还检查/proc/sys/crypto/fips_enabled。前者可能在容器中伪造,但对后者(proc文件)这样做听起来很危险。参考此注解:https://github.com/containers/podman/issues/9193#issuecomment-791928427
/proc/sys/crypto/fips_enabled
1条答案
按热度按时间x7yiwoj41#
我不相信这是可能的。某些库(如openssl)不仅期望从(FIPS模式)主机绑定挂载“魔术”文件,而且它们还检查
/proc/sys/crypto/fips_enabled。前者可能在容器中伪造,但对后者(proc文件)这样做听起来很危险。参考此注解:https://github.com/containers/podman/issues/9193#issuecomment-791928427