作为安全管理员,您必须根据 FIPS 模式下 Junos OS 密码规格和准则中的 FIPS 密码要求建立 root 密码要求。在设备上的 Junos OS 中启用 FIPS 模式时,只能配置符合此标准的密码。
本地密码使用安全散列算法 SHA256 或 SHA512 进行加密。在 FIPS 模式下的 Junos OS 中,无法恢复密码。FIPS 模式下的 Junos OS 如果没有正确的 root 密码,将无法启动到单用户模式。
要启用设备上的 Junos OS 中的 FIPS 模式:
- 进入 FIPS 模式之前,将设备归零以删除所有 CSP。有关详细信息,请参阅“为 FIPS 模式清除系统数据”部分的“归零”部分。
- 设备进入“Amnesiac 模式”后,使用用户名和密码
root
""
(空)登录。
FreeBSD/amd64 (Amnesiac) (ttyu0)
login: root
--- JUNOS 22.2R1.10 Kernel 64-bit JNPR-12.1-20210529.2f59a40_build
root@:~ # cli
root>
- 配置密码至少 10 个字符或更多的 root 身份验证。
root> edit
Entering configuration mode
[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:
[edit]
root# commit
commit complete
- 将配置加载到设备上,然后提交新配置。配置安全管理员并使用安全管理员凭据登录。
- 启用
fips-mode
FIPS 所需的可选软件包。 jpfe-fips
这些软件包是 Junos OS 软件的一部分。要启用这些软件包,请使用以下命令:
security-administrator@hostname> request system software add optional://fips-mode.tgz
Verified fips-mode signed by PackageDevelopmentECP256_2020 method ECDSA256+SHA256crypto-officer@hostname> request system software add optional://jpfe-fips.tgz
/usr/sbin/pkg: package jpfe-fips-x86-32-20.3I-20200610_dev_common.0.0743 is already installed
- 通过设置
set system fips chassis level 1
和 commit
来配置机箱边界 Fips。
Device might display the Encrypted-password must be re-configured to use FIPS compliant hash
warning to delete older CSPs in loaded configuration.
- 删除和重新配置 CSP 后,提交将完成,设备需要重新启动以进入 FIPS 模式。
[edit]
security-administrator@hostname# commit
[edit]
system
reboot is required to transition to FIPS level 1
commit complete
[edit]
security-administrator@hostname# run request vmhost reboot
- 重新启动设备后,FIPS 自测试将运行,设备将进入 FIPS 模式。
security-administrator@hostname:fips>