Junos OSをデバイスにインストールし、デバイスの電源をオンにすると、設定ができる状態になります。まず、ユーザー root としてパスワードなしでログインします。root としてログインすると、SSH 接続がデフォルトで有効になります。
Crypto Officerは、 FIPSモードのJunos OSのパスワード仕様とガイドラインについてに記載されている、FIPSパスワード要件に準拠したrootパスワードを設定する必要があります。デバイスのJunos OSでFIPSモードを有効にした場合、この規格を満たさないパスワードは設定できません。
ローカルパスワードは、セキュアハッシュアルゴリズムSHA256またはSHA512で暗号化されます。FIPSモードのJunos OSでは、パスワードのリカバリーはできません。FIPSモードのJunos OSは、正しいrootパスワードがないとシングルユーザーモードで起動できません。
デバイスのJunos OSでFIPSモードを有効にするには、次の手順に従います。
- FIPS モードに入る前に、デバイスをゼロにしてすべての CSP を削除します。詳細については、「FIPS モードのシステム データをクリアするためのゼロ化について」セクションを参照してください。
- デバイスが「記憶喪失モード」で起動したら、ユーザー名
root
とパスワード ""
(空白)を使用してログインします。
FreeBSD/amd64 (Amnesiac) (ttyu0)
login: root
--- JUNOS 20.3X75-D30.1 Kernel 64-bit JNPR-11.0-20190701.269d466_buil
root@:~ # cli
root>
- 少なくとも 10 文字以上のパスワードを使用して root 認証を構成します。
root> edit
Entering configuration mode
[edit]
root# set system root-authentication plain-text-password
New password:
Retype new password:
[edit]
root# commit
commit complete
- 設定をデバイスにロードし、新しい設定をコミットします。クリプトオフィサーを設定し、クリプトオフィサーの資格情報でログインします。
- ルーティングエンジン
fips-mode
KATSに必要なパッケージをインストールします。
root@hostname> request system software add optional://fips-mode.tgz
Verified fips-mode signed by PackageDevelopmentEc_2017 method ECDSA256+SHA256
- MXシリーズデバイスの場合、
set system fips chassis level 1
とcommit
を設定して、シャーシ境界fipsを設定します。
set systems fips level 1
を設定して RE 境界 fips を構成し、コミットします。
デバイスには、読み込まれた構成内の古い CSP を削除するために FIPS 準拠ハッシュ警告を使用するように、暗号化されたパスワードを再設定する必要があります と表示される場合があります。
- CSP を削除して再構成した後、コミットが完了し、FIPS モードに入るにはデバイスを再起動する必要があります。
[edit]
crypto-officer@hostname# commit
Generating RSA key /etc/ssh/fips_ssh_host_key
Generating RSA2 key /etc/ssh/fips_ssh_host_rsa_key
Generating ECDSA key /etc/ssh/fips_ssh_host_ecdsa_key
[edit]
system
reboot is required to transition to FIPS level 1
commit complete
[edit]
crypto-officer@hostname# run request vmhost reboot
- デバイスの再起動後、FIPS セルフテストが実行され、デバイスは FIPS モードになります。
crypto-officer@hostname:fips>