- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
13-FIPS命令
本章節下載: 13-FIPS命令 (160.75 KB)
display fips status命令用來顯示當前的FIPS模式狀態。
【命令】
display fips status
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前的FIPS模式狀態。
<Sysname> display fips status
FIPS mode is enabled.
【相關命令】
· fips mode enable
fips mode enable命令用來開啟FIPS模式。
undo fips mode enable命令用來關閉FIPS模式。
【命令】
fips mode enable
undo fips mode enable
【缺省情況】
FIPS模式處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
使能FIPS模式並重啟設備之後,設備會運行於支持FIPS 140-2標準的工作模式下。在該工作模式下,係統將具有更為嚴格的安全性要求,並會對密碼模塊進行相應的自檢處理,以確認其處於正常運行狀態。
用戶執行了fips mode enable命令後,係統提供以下兩種啟動方式來進入FIPS模式:
· 自動重啟方式
該方式下,係統自動創建一個FIPS缺省配置文件(名稱為fips-startup.cfg),同時將其指定為下次啟動配置文件,並且要求用戶手工配置設備重啟後登錄設備的用戶名和密碼。如果用戶在輸入過程中想退出配置流程,可以使用<Ctrl+C>組合鍵中斷配置流程,配置流程中斷後,當前的fips mode enable命令設置也相應失敗。
用戶成功設置安全管理員用戶名和登錄密碼之後,係統將自動使用指定的啟動配置文件重啟。
· 手動重啟方式
該方式下,係統不自動創建進入FIPS模式的下次啟動配置文件。需要用戶手工完成進入FIPS模式所需的所有必要配置,主要包括:
¡ 使能全局Password Control功能。
¡ 設置全局Password Control密碼組合類型的個數為4,每種類型至少1個字符。
¡ 設置全局Password Control的密碼最小長度為15。
¡ 添加設備管理類本地用戶,設置密碼、用戶角色和服務類型。本地用戶的密碼需要符合以上Password Control配置的限製,用戶角色必須是network-admin,服務類型為terminal。
¡ 刪除不符合FIPS標準的本地用戶服務類型(Telnet和FTP)。
然後手工保存當前配置文件為下次啟動配置文件,並將二進製類型的下次啟動配置文件刪除後重啟設備。
執行fips mode enable命令之後,係統會提示用戶選擇啟動方式,若用戶未在30秒內作出選擇,則係統默認用戶采用了手動啟動方式。
若需要將設備從FIPS工作模式切換到非FIPS模式,請在先執行undo fips mode enable命令關閉FIPS模式,然後保存配置,重啟設備。
【舉例】
# 使能FIPS模式,並選擇自動重啟方式進入FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
Create a new start-up configuration file named fips-startup.cfg used for FIPS mode. After setting the username and password for logging in the device of FIPS mode, the device will be rebooted automatically. Are you sure? [Y/N]:y
Enter username(1~55 characters): root
Enter password(15~63 characters):
Confirm:
Waiting for reboot ...After reboot, the device will enter fips mode.
# 使能FIPS模式,並選擇手動重啟方式進入FIPS模式。
<Sysname> system-view
[Sysname] fips mode enable
Create a new start-up configuration file named fips-startup.cfg used for FIPS mode. After setting the username and password for logging in the device of FIPS mode, the device will be rebooted automatically. Are you sure? [Y/N]:n
[Sysname]
【相關命令】
· display fips status
fips self-test命令用來手工觸發密碼算法自檢。
【命令】
fips self-test
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
當管理員需要確認當前處於FIPS模式的係統中的密碼算法模塊是否正常工作時,可以執行本命令觸發密碼算法自檢。手工觸發的密碼算法自檢內容與設備啟動時自動進行的啟動自檢內容相同。
隻有所有密碼算法自檢都通過了,整個密碼算法自檢才算成功。密碼算法自檢失敗後,設備會自動重啟。
【舉例】
# 手工觸發密碼算法自檢。
<Sysname> system-view
[Sysname] fips self-test
FIPS Known-Answer Tests are running ...
Slot 1 in chassis 0:
Starting Known-Answer tests in the user space.
Known-answer test for SHA1 passed.
Known-answer test for SHA224 passed.
Known-answer test for SHA256 passed.
Known-answer test for SHA384 passed.
Known-answer test for SHA512 passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for HMAC-SHA224 passed.
Known-answer test for HMAC-SHA256 passed.
Known-answer test for HMAC-SHA384 passed.
Known-answer test for HMAC-SHA512 passed.
Known-answer test for AES passed.
Known-answer test for RSA(signature/verification) passed.
Known-answer test for RSA(encrypt/decrypt) passed.
Known-answer test for DSA(signature/verification) passed.
Known-answer test for random number generator passed.
Known-Answer tests in the user space passed.
Starting Known-Answer tests in the kernel.
Known-answer test for SHA1 passed.
Known-answer test for HMAC-SHA1 passed.
Known-answer test for AES passed.
Known-answer test for random number generator passed.
Known-Answer tests in the kernel passed.
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
