是否可以仅对某些选定的Docker(podman)容器启用FIPS 140-2?仅用于自动测试目的

iyfjxgzm  于 2022-12-03  发布在  Docker
关注(0)|答案(1)|浏览(116)

为了在FIPS 140-2环境下测试我的应用程序,我考虑运行fipsed容器。
在不将整个主机置于FIPS模式并使所有容器都在FIPS限制下运行的情况下,是否可以做到这一点?

x7yiwoj4

x7yiwoj41#

我不相信这是可能的。某些库(如openssl)不仅期望从(FIPS模式)主机绑定挂载“魔术”文件,而且它们还检查/proc/sys/crypto/fips_enabled。前者可能在容器中伪造,但对后者(proc文件)这样做听起来很危险。
参考此注解:https://github.com/containers/podman/issues/9193#issuecomment-791928427

相关问题